Ofta ses informationssäkerhet som nödvändigt ont istället för något som tillför nytta till organisationen. Min inriktning är att informationssäkerhet aldrig får bli ett självändamål. Ett systematiskt informationssäkerhetsarbete tar istället sikte på att stödja organisationens mål genom att utveckla och skydda informationshanteringen.
Med tjänster som nulägesanalys, riskhantering, informationsklassning och införande av ett systematiskt informationssäkerhetsarbete enligt ISO/IEC 27001 och 27002 kan jag hjälpa er organisation att få en avpassad informationssäkerhet. för just er verksamhet. Jag kan även ge stöd i dataskyddsarbetet och med följa NIS 2 som ställer stora krav på många organisationer. Framför allt vill jag hjälpa er att samordna informationshanteringen så att alla krav från exempelvis informationssäkerhet, arkiv och dataskydd integreras med effektivitet. Detta lägger en stabil grund för digitalisering som fungerar.
Mina tjänster
Cyber- och informationssäkerhet
Cyber- och informationssäkerhet är idag viktigare än någonsin. Nya krav ställs på både privata och offentliga organisationer t.ex. i form av NIS 2 som nu blir cybersäkerhetslagen. För att kunna hantera behov och krav utan alltför omfattande byråkrati behövs ett systematiskt och långsiktigt arbete.
Jag kan erbjuda stöd för att utveckla och förvalta ett systematiskt informationssäkerhetsarbete där ledningens prioriteringar identifieras och omvandlas till konkreta säkerhetsåtgärder på rätt nivå. Långsiktig planering, respekt för kärnverksamheten och att integrera säkerhetsarbetet i befintliga processer är ledande principer för mig.
Stöd för fungerande informationsförvaltning
Alla organisationer är beroende av tillgång till information av rätt kvalitet. Informationsförvaltning är därför ett område som bör prioriteras högre än vad som sker idag. I begreppet ligger att kunna hantera information från ax till limpa, dvs. att säkerställa att rätt information skapas, tas emot, görs sökbar för behöriga, rensas/gallras och lagras både på kort och lång sikt. En fungerande informationsförvaltning är även förutsättning för informationssäkerhet och dataskydd. Inom detta område kan jag bland annat erbjuda strategisk rådgivning för digitalt långtidsbevarande, metoder för registrering samt praktiskt genomförande av informationskartläggningar. Jag kan även vara behjälplig i större eller mindre arkiv- och gallringsprojekt.
Nulägesanalys
För att kunna bygga upp ett långsiktigt informationssäkerhetsarbete som stödjer verksamheten är det nödvändigt att både ha analyserat organisationens behov och nivån på den befintliga informationssäkerheten. En nulägesanalys ger grunden för att kunna dimensionera den säkerhet organisationen behöver.
En nulägesanalys genomförs i form av dokumentgranskningar och intervjuer och levereras i rapportform med rekommendationer för det fortsatta arbetet.
En liknande analys kan göras för organisationens informationsförvaltning.
Riskanalyser och systematisk riskhantering
Ett fungerande informationssäkerhetsarbete utgör ett svar på de risker som organisationen är utsatt för. Arbetet med riskanalyser och riskhantering är det som ger dynamiken och förmågan att utforma säkerhetsåtgärderna så att de blir effektiva. Att ha en systematisk riskhantering innebär att ha en struktur för att identifiera risker och sedan kunna reducera dem till en tolerabel nivå på ett strukturerat sätt.
I tjänsten ingår stöd för framtagande av en grundläggande struktur för en systematisk riskhantering i organisationen där riskanalyser på olika nivåer (för hela organisationen, för en verksamhetsprocess eller för ett projekt till exempel) kan sammanföras.
Stöd kan även ges för de risk- och sårbarhetsanalyser som statliga myndigheter, kommuner och landsting ska genomföra enligt MSB:s föreskrifter.
Informationsklassning och skyddsnivåer
Informationsklassning ses som en av de centrala aktiviteterna i det systematiska informationssäkerhetsarbetet. Ändå är det mycket få organisationer som faktiskt genomför informationsklassningar och ännu färre som har utvecklat skyddsnivåer med åtgärder som svarar på klassningens krav. Orsaken till att så organisationer verkligen arbetar med informationsklassning är sannolikt att det är en komplex aktivitet där många delar av organisationen måste vara engagerade.
I tjänsten ingår att ta fram en modell för informationsklassning som passar kundens behov samt även stödja kunden i att ta fram rutiner för att införa informationsklassning på ett systematiskt sätt. Det finns även möjlighet att ta fram underlag för skyddsnivåer.
Stöd för incident- och kontinuitetshantering
Alla organisationer är idag beroende av sin informationshantering och när en större störning i informationshanteringen inträffar påverkar det organisationens möjlighet att fortsätta att bedriva sin verksamhet. Det är därför nödvändigt att ha en planering för hur man ska hantera en störning så de mest prioriterade funktionerna i organisationen ändå kan upprätthållas.
I tjänsten ingår bland annat att kartlägga vilka av organisationens verksamheter och funktioner som är prioriterade av ledning samt identifiera vilka beroenden som finns till informationshanteringen. Därefter tas förslag fram på organisation och planering för att kunna möta störningar.
Händelseanalys
Trots all planering inträffar ändå incidenter i informationshanteringen som leder till större eller mindre störningar. När det händer är det viktigt att närmare analysera vad som orsakat incidenten och vilken effekt den fått i verksamheten. Därefter kan kunskapen som uppnåtts användas för att förbättra skyddet så att liknande incidenter inte händer igen.
I händelseanalysen ligger fokus på vad som incidenten lett till för konsekvenser för organisationen. Resultatet presenteras i rapport och i en presentation för ledningen eller annat forum.
Upphandlingsstöd
En allt större del av en organisations informationshantering sker genom outsourcing eller molntjänster. Liksom vid upphandling av traditionella it-system är informationssäkerheten en central fråga att beakta och som bör tas med redan initialt i upphandlingsprojektet. I många organisationer är upphandlingarna få och det kan därför upplevas som att man saknar den erfarenhet och kompetens som behövs för att kraven på informationssäkerhet skall komma med i upphandlingen på ett bra sätt.
Upphandlingsstödet kan vara mer eller mindre omfattande beroende på kundens önskemål, från att konsulten deltar i hela upphandlingsprojektet till att konsulten validerar framtagna säkerhetskrav från kundens projektgrupp.
Revision av informationssäkerhet
Kontroll av att säkerhetskrav efterlevs är en väsentlig komponent i ett systematiskt informationssäkerhetsarbete. Kontrollen ger stöd för fortsatt utveckling av det interna säkerhetsarbetet och är också ett viktigt underlag för utveckling av organisationens informationsförvaltning.
Revisionen sker enligt ett fastställt revisionsprogram som framför allt är inriktad på organisationens förmåga till styrning av informationssäkerheten. Resultatet är den dokumenterad rapport i två delar; en mer utförlig för det interna förbättringsarbetet och en mer komprimerad som utan risk kan kommuniceras till externa parter.
Rådgivning och bollplank
För många organisationer kan det vara svårt att hålla en tillräcklig kompetens inom informationssäkerhet och informationsförvaltning. Även för en organisation som har egen personal som arbetar med dessa frågor kan omvärldsbevakningen bli otillräcklig. Därför kan det vara bra att ha kontinuerlig tillgång till en extern expert att diskutera aktuella frågor med.
Organisationen kan välja i vilken omfattning och vilket sätt rådgivningen ska ske. Rådgivaren ersätter aldrig egen kompetens utan ska ses en diskussionspartner som finns som resurs för interna medarbetare.
Utbildning för ledningen och andra målgrupper
För att skapa en väl fungerande informationssäkerhet krävs kunniga och engagerade medarbetare på alla nivåer. Finns det växer en god säkerhetskultur fram där ledning och medarbetare inte bara följer beslutade regler utan också är förberedda på att hantera nya situationer som utgör en risk för informationshanteringen. Informationssäkerhetsområdet utvecklas snabbt och därför behövs ständig vidareutveckling av kompetensen hos alla medarbetare.
Kunden kan själv välja målgrupp och omfattning för utbildningen. Rekommenderat är en två-timmars genomgång med ledningsgruppen som ger en överblick över området. Genomgången innehåller också en presentation av risker, externa förväntningar och interna behov av säkerhet. Bredare medarbetarutbildning är ett annat bra steg för en organisation som vill gå vidare och förbättra sin säkerhet.
Stöd för informationssäkerhet i e-hälsa
Den svenska sjukvården har ambitionen att utveckla och förbättra det nationella e-hälsoområdet. För att utveckla den fulla potentialen inom e-hälsoområdet är dock informationssäkerhet är en avgörande fråga. De e-hälsolösningar som tas fram måste både ge patientsäkerhet och integritet för att de ska kunna fungera effektivt och skapa tillit. Det kräver också att både de nationella lösningarna och de enskilda vårdaktörerna kontinuerligt arbetar med organisatoriska och tekniska åtgärder i ett inbördes samspel.
Stöd ges för att analyser av behovet av informationssäkerhet i planerade och befintliga e-hälsotjänster. Målsättningen är att informationssäkerheten ska skapa möjligheter för god tillgänglighet, hög grad av integritet samt uppfylla de mycket höga krav på riktighet och spårbarhet som finns i vård och omsorg.
Stöd för att efterleva dataskyddsförordningen
Dataskyddsförordningen innebär betydande förändringar för organisationer som hanterar personuppgifter. Framför allt måste personuppgiftsansvariga ha en starkare kontroll över hur personuppgifterna hanteras. Detta kräver både organisatoriska och tekniska åtgärder.
I tjänsten ingår ledningsinformation av vad förordningen innebär och stöd för kartläggning av organisationens processer och hur dessa använder personuppgifter. Därtill kommer en riskanalys och förslag på vilka organisatoriska åtgärder som bör vidtas. Förslag kan även tas fram för det obligatoriska inrapporteringssystemet för incidenter samt åtgärder för åtgärder i prioriterade it-system.
Moderator och föreläsare
Informationssäkerhet handlar i hög grad om kommunikation som leder till medvetenhet och engagemang. Att nå fram till andra än de redan frälsta är nödvändigt om informationssäkerhet ska bli en viktig fråga i den enskilda organisationen och i samhället. På ledningsgruppsmöten, på konferenser och seminarier kan en dialog skapas som lägger grunden för ett arbete med hög delaktighet som kan förbättra informationssäkerheten.
Med en mycket lång erfarenhet som föreläsare kan jag hjälpa er att moderera samtal och med att själv föreläsa så att informationssäkerhet och informationsförvaltning blir begripliga och engagerande frågor.
Om bloggen
Fiaewald.se drivs av Fia Ewald Consulting AB som innehar utgivningsbevis för databas från Myndigheten för press, radio och tv. Ansvarig utgivare: Fia Ewald.
