Något som ganska ofta förvånar mig är hur låg medvetenheten är kring riskhantering och vart riskhantering kan tillämpas. Så när jag tidigare läste en artikel på IDG.se där Thomas Djurling, FRA, uttalar sig om att svenska företag är naiva när det gäller hanteringen av frågor som industri spionage så kan jag inte mer än hålla med honom. Men jag vill samtidigt starkt ifrågasätta huruvida svenska myndigheter som FRA, SÄPO och SITIC ska erbjuda sina tjänster på den öppna marknaden när det redan idag finns ett flertal privata aktörer som mycket väl kan hantera och erbjuda dessa typer av tjänster.

Problemet inom många organisationer grundar sig snarare i att det saknas kunskap och medvetenhet kring riskhantering och om FRA, SÄPO eller SITIC anser att de skall göra sitt inom detta segment så bör de agera inom sina egna domäner; hos andra svenska myndigheter. Detta är något man redan gör idag om man nu skall citera FRA’s egen hemsida:

”FRA har också som uppgift att efter förfrågan stödja informationssäkerhetsarbetet hos myndigheter och statligt ägda bolag.”

Problemet är att ovan citat säger ”efter förfrågan” och frågan kvarstår vem är det idag som löpande utför granskning av svenska myndigheters säkerhet? Som det fungerar idag är det upp till den egna myndigheten att själv agera och hantera frågan kring säkerhet och detta har baserats på de regler som staten har satt upp och som bör uppfyllas. Problemet är att staten som uppdragsgivare brister vad gäller att följa upp och kontrollera sina egna regler och om dessa efterlevs. Detta bidrar till enorm skillnad mellan olika myndigheter i hur de hanterar säkerheten och risk medvetenheten.

Förslag är att det utförs någon form av säkerhets granskningar varje eller vart annat år av samtliga svenska myndigheter för att säkerställa kravuppfyllnad för dessa olika samhällsfunktioner vilka har en påverkan på oss alla på ett eller annat sätt.

När det pratas om risk så associerar merparten till IT-säkerhet vilket ofta leder tankarna till brandväggar och antivirus. Vad man ofta missar är risk på grund av bland annat bristande styrning, processer, roller, ansvarsfördelning och dokumentation.

Att sätta sig ner och skissa på olika scenarier och genomföra en riskanalys samt sätta en kostnad på själva risken ökar möjligheten att göra rätt prioriteringar gällande investering som krävs för att hantera risken. Detta görs tyvärr allt för sällan idag inom många organisationer.

Det handlar ytterst om att identifiera, minimera och acceptera risker som kan lokaliseras inom de för affärsprocessens viktiga aktiviteter och tillgångar.

Risk kan aldrig elimineras, men kan minimeras och hanteras till en av organisationen acceptabel nivå.

Kim Haverblad

Dela med andra:

Trackback URI | Kommentars RSS