Apr 02 2008

Vem skall följa upp kraven kring säkerhet?

Publicerad av under Risk,Säkerhet

Krisberedskapsmyndigheten (KBM) har i ett pressmeddelande gått ut med en handlingsplan för hantering av informationssäkerhet för svenska myndigheter som innehåller 47 åtgärdspunkter som ska säkra Sverige. Bland annat finns krav på att en grundläggande säkerhetsnivå för samhällsviktiga verksamheter skall finnas. Detta kan ju tyckas vara en självklarhet som redan borde finnas på plats idag.

Vi har idag ett flertal lagar och förordningar som reglerar hur viktig information skall hanteras och lagras och därmed även sätter en basnivå för hanteringen av säkerhet. Problemet ligger dock i att flertalet av de standarder och ledningssystem som idag finns och som även KBM pekar på i sin skrivelse har en tendens att vara för tekniskt orienterade eller för övergripande och därmed missar hela grundförutsättningen för att lyckas med säkert – avsaknad av processtruktur.

För det de flesta organisationer är just svårigheten att definiera processen för hur själva hanteringen skall göras samt att definiera tydliga roller och ansvar. Detta i sig leder oftast till fokusering kring hur och inte kring vad som skall göras. Man missar helt enkelt den övergripande styrningen av själva säkerhetshanteringen.

Åter igen så ägnas även i KBM skrivelse ganska lite kring hur man avser att följa upp att myndigheter efterlever en föreslagen basnivå för säkerhet. Man skriver visserligen i åtgärdspunkt 12:

”Det bör tas fram och införas ett system för värdering av myndigheters informationssäkerhet. Systemet ska underlätta självvärdering samt vid intern och extern revision hur ställda krav på myndigheters informationssäkerhet uppfylls.”

Risken med ett system för självvärdering är att fokus flyttas över på nyckeltal istället. Det är i sig inte nyckeltalen som är en garant för hög säkerhet och risken finns att man tittar sig blind på dessa. Nyckeltal i sig finns till för att förenkla kommunikation och rapportering kring de uppsatta mål för säkerhet samt framför allt är ett stöd för säkerhetshanterings processen.

Hela förslaget kan på denna punkt fallera om man inte avser att löpande följa upp verksamheten genom granskningar och revisioner. Risken är att man kör vidare som vanligt med fokus på att lösa säkerhetsproblem med nya tekniska lösningar.

Kim Haverblad

Inga kommentarer ännu

Trackback URI | Kommentars RSS

Lämna kommentar

Du måste vara inloggad för att lämna kommentar.