Då ett ledningssystem i informationssäkerhet införs i en organisation är den högsta ledningens uttalade stöd centralt. Därför har nu rektors ledningsgrupp vid Lunds universitet, liksom sektions- och fakultetsledningar, nyligen utbildats i informationssäkerhet.
Information finns i alla delar av organisationen, och det krävs att den är tillgänglig och korrekt, samt att hemlig information inte röjs. Det gäller att veta vilken information som finns, så att rätt skydd kan införas för att bevara önskad nivå av konfidentialitet, riktighet och tillgänglighet.
Under september månad genomfördes en särskild och grundläggande utbildning, ledd av universitetets CISO (förkortning för Chief Information Security Officer) Ingegerd Wirehed.
“Hela vår verksamhet berörs av informationssäkerhet i och med att vi idag lever i ett helt digitalt sammankopplat och uppkopplat samhälle. För att ledningen ska kunna fatta rätt beslut och staka ut den bästa vägen framåt för vår verksamhet behöver vi ha god kännedom om vad informationssäkerhet är och vilka förutsättningar som finns på LU för att ta sig an frågan på bästa sätt”, uttrycker rektors ledningsgrupp i ett samlat uttalande efter utbildningen.
“Att verksamheten och hela samhället är mycket sårbart när system och tjänster är uppkopplade och sammankopplade är kanske ingen överraskning men det är viktigt att påminnas om det med jämna mellanrum”, kommenterar ledningen utbildningen.
Det finns ingen “quick fix” för informationssäkerheten – ingen magisk apparat man kan koppla in i en serverhall och som skyddar mot alla hot. I stället måste arbetet vara strukturerat och systematiskt för att bli effektivt. Nästan varje vecka dyker nyheter upp som visar vilka hot som finns mot informationssäkerheten.
“Vi tror att alla verksamheter delar samma rädsla: att verksamhetskritisk information kan gå förlorad, vilket i värsta fall för LU:s del kan innebära att flera års arbete inom forskning är förgäves eller att vi förlorar information som studieprestationer till exempel. Vi är också i en förtroendebransch vilket innebär att allmänheten ska kunna lita på att forskning utförs korrekt. I detta ingår att uppgifter och underlag förvaras och delas säkert”, skriver ledningen.
Utöver forskning och utbildning finns ytterligare aspekter.
“Likaså ställer korrekt myndighetsutövning stora krav på att personuppgifter inte hamnar i orätta händer. LU består till stor del av sin information och alla angrepp där informationen riskeras skulle innebära en stor skada för oss. Ytterligare en risk är att universitetet utsätts för utpressning, vilket hände Coop, eller deras underleverantör för att vara exakt, under sommaren”, fortsätter ledningen.
Metodstödet som används för att bedriva arbetet systematiskt bygger på följande delar:
- Identifiera och analysera
- Utforma
- Använda
- Följa upp och förbättra
Meningen är att informationssäkerhetsarbetet ska bli integrerat i det vanliga arbetet. Om informationssäkerhetsarbetet blir en del av den löpande verksamheten istället för något utanför den, får vi ett effektivt arbete och därmed skydd.
“Universitetet är stort och decentraliserat och det är en utmaning att nå ut till alla och det är verkligen alla som behöver ha kunskap om informationssäkerhet. Vi behöver också se till att ledningssystemet följer det delegerade verksamhetsansvaret som består i arbetsordning och delegationsordning. Det är också viktigt att ledningssystemet kopplar in mot andra ledningssystem och arbeten (exempelvis riskarbetet, säkerhetsskyddsarbetet m.m.) så att det blir en helhet för verksamheten”, skriver ledningen.
Myndigheten för samhällsskydd och beredskap betonar vikten av att ledningen tar ansvar för arbetet med informationssäkerhet genom att regelbundet göra uppföljningar. Ledningen behöver därför tillräckliga kunskaper och löpande rapporter för att kunna fatta kloka beslut.
“Ledningens ansvar är att ge rätt förutsättningar för arbetet med informationssäkerhet och att i dialog med CISO se vilka arbetssätt som fungerar vid LU. Vi behöver också vara ambassadörer för detta arbete och det kan vi vara genom att lyfta betydelsen av informationssäkerhet i olika sammanhang”, skriver ledningen.
MSB:s stödmaterial: Ledningens roll inom informationssäkerhet – Stöd för dig med en ledande funktion (Myndigheten för samhällsskydd och beredskap)