Lunds universitet ska bli bättre på att anmäla och åtgärda inträffade incidenter inom informationssäkerhet. Det är målet för ett nyligen beslutat delprojekt inom arbetet med att införa ett ledningssystem för informationssäkerhet.
Anders Sjöö leder delprojektet som pågår till och med mars 2023.
Vad går ditt arbete ut på?
– Att etablera en systematisk hantering av incidenter inom informationssäkerhetsområdet. Det är en del i det större projektet att införa ett ledningssystem för informationssäkerhet vid Lunds universitet. Det bottnar dels i lagkrav som gäller alla statliga myndigheter, dels i interna krav och behov, säger Anders Sjöö.
Enligt det nyligen fattade rektorsbeslutet ska delprojektet ha både ett säkerhetsmässigt och ett kommunikativt perspektiv: “Det ska vara lätt att förstå vad som är en incident, hur man ska agera vid en incident samt vilka effekter en utebliven hantering kan innebära.”
Vad är incidenthantering?
– En incident brukar beskrivas som en oväntad eller oönskad händelse som får negativa konsekvenser. Incidenthantering syftar till att upptäcka incidenter som påverkar informationssäkerheten, att se till att effekterna av incidenten begränsas och att åtgärder vidtas för att återställa en normalsituation, säger Anders Sjöö.
Men en minst lika viktig funktion med incidenthantering är att universitetet drar lärdom av inträffade incidenter och bedriver ett systematiskt och proaktivt arbete för att undvika skada för verksamheten.
– Framåtsyftande arbete är alltid bättre än att släcka bränder, även om vi så klart också måste kunna ta hand om bränderna på ett effektivt sätt, säger Anders Sjöö.
Man brukar skilja på olika sorters incidenter. En informationssäkerhetsincident kan innebära en eller flera av dessa:
- Information har blivit tillgänglig för obehöriga.
- Information har förlorats, eller förvanskats.
- Information är otillgänglig när den ska användas.
– En incident kan uppkomma av många olika orsaker. Den kan innebära allt från marginell påverkan för enstaka individer till stor och långvarig påverkan för hela universitetet, ja till och med omgivande samhälle, säger Anders Sjöö.
Det är vanligt att informationssäkerhet blandas ihop med IT-säkerhet.
– Informationssäkerhet har fokus på säkerheten för just informationen och inte i första hand på tekniken som hanterar informationen. En del informationssäkerhetsincidenter har inte någon IT-komponent alls, till exempel om utskrifter med känsliga personuppgifter skulle komma på villovägar, säger Anders Sjöö.
Det finns ingen motsättning mellan de två – i stället kompletterar de varandra.
– Det är två fokus som delvis överlappar varandra. Det gör att samverkan mellan IT-säkerhet och informationssäkerhet är självklar, säger Anders Sjöö.
Men kraven på samverkan är större än så i en komplex organisation som Lunds universitet. Det framgår inte minst av rektorsbeslutet: “Delprojektet kräver såväl samverkan över fakultets- och sektionsgränser som orientering kring kärnverksamheterna utbildning, forskning och den tredje uppgiften.”
– Processerna ska utvecklas för hantering av incidenter inom Lunds universitet, de ska etableras och integreras inom universitetets verksamheter, säger Anders Sjöö.
Också enskilda medarbetare behöver lära sig mer om ämnet.
– En välfungerande incidenthantering förutsätter också att medarbetarna har tillräckliga kunskaper om informationssäkerhet. Olika inslag av kompetensutveckling är en bärande del av projektet som pågår parallellt med processarbetet, säger Anders Sjöö.
Det inträffar incidenter varje dag. De allra flesta drabbar mindre delar av universitetet och innebär inga allvarliga, långsiktiga konsekvenser. Hanteringen är idag varierande, en del funktioner har etablerade processer, inom andra finns utrymme till förbättringar.
– Vi behöver förbättra systematiken i hanteringen, få en bättre överblick och vässa vårt proaktiva arbete, säger Anders Sjöö.
På vilket sätt ska det bli annorlunda när ditt arbete är klart?
– När projektet är avslutat ska universitet ha en större förmåga att upptäcka, anmäla och åtgärda inträffade incidenter. Vi har beslutade och kommunicerade processer för incidenthantering, det är processer som i stor utsträckning samverkar med annan riskhantering och integrerar med universitetets olika verksamheter.
Och så, förstås, det där målet om att dra lärdomar.
– Vi har också skapat grund för ett aktivt lärande i organisationen där vi tar vara på erfarenheter från inträffade incidenter, så att vi i stor utsträckning kan arbeta proaktivt för en god informationssäkerhet, säger Anders Sjöö.