Två saker som ofta förväxlas med varandra: IT-säkerhet och informationssäkerhet. I digitaliseringens tidevarv behandlas, lagras eller transporteras information oftast med hjälp av IT - I digitaliseringens tidevarv behandlas, lagras eller transporteras information oftast med hjälp av IT - men ofta är informationssäkerhet fortfarande mer analogt än vi tror! I grund och botten är IT-säkerhet och informationssäkerhet ganska nära sammankopplade. Det krävs därför ett systematiskt tillvägagångssätt för ett effektivt skydd av konfidentiell information, liksom av själva IT.

Loading...

IT-säkerhet vs. informationssäkerhet

Informationssäkerhet är mer än bara IT-säkerhet. Den fokuserar på hela företaget. Säkerheten för konfidentiell information är trots allt inte bara inriktad på uppgifter som behandlas av elektroniska system. Informationssäkerheten omfattar alla företagstillgångar som måste skyddas, även de som finns på analoga databärare, t.ex. papper.

"IT-säkerhet och informationssäkerhet är två termer som (ännu) inte är utbytbara."

Skyddsmålen för informationssäkerheten

De tre grundläggande skyddsmålen för informationssäkerhet - konfidentialitet, tillgänglighet och integritet - gäller därför även för ett brev med viktiga avtalsdokument, som måste komma fram till mottagaren i tid, på ett tillförlitligt och intakt sätt, transporterat av en kurirfirma, men helt analogt. Och dessa skyddsmål gäller även för ett pappersark som innehåller konfidentiell information, men som ligger på ett obevakat skrivbord så att vem som helst kan se det, eller som väntar på obehörig åtkomst i kopiatorn, fritt tillgängligt.

Informationssäkerheten har alltså en bredare räckvidd än IT-säkerhet. IT-säkerhet å andra sidan avser "endast" skyddet av information i IT-system.

IT-säkerhet enligt definitionen

Vad säger de officiella organen? IT-säkerhet är "ett tillstånd där de risker som finns vid användning av informationsteknik på grund av hot och sårbarheter reduceras till en acceptabel nivå genom lämpliga åtgärder". IT-säkerhet är därför ett tillstånd där konfidentialitet, integritet och tillgänglighet för information och informationsteknik skyddas genom lämpliga åtgärder." Enligt den tyska federala byrån för informationssäkerhet (BSI).

Informationssäkerhet = IT-säkerhet plus X

I praktiken används ibland ett annat tillvägagångssätt, med tumregeln "informationssäkerhet = IT-säkerhet + dataskydd". Detta påstående är dock ganska slående när det skrivs ner som en ekvation. Visserligen handlar frågan om dataskydd enligt EU:s allmänna dataskyddsförordning om att skydda den personliga integriteten, vilket innebär att personuppgiftsbiträden måste ha både säker IT och t.ex. en säker byggnadsmiljö - vilket innebär att fysisk tillgång till kundregister utesluts. Detta utesluter dock viktiga analoga uppgifter som inte kräver personlig integritet. Till exempel företagets byggplaner och mycket mer.

Begreppet informationssäkerhet innehåller grundläggande kriterier som går utöver rena IT-aspekter, men som alltid omfattar dem. Således vidtas jämförelsevis även enkla tekniska eller organisatoriska åtgärder inom ramen för IT-säkerheten alltid mot bakgrund av lämplig informationssäkerhet. Exempel på detta kan vara:

  • Säkerställande av strömförsörjningen till hårdvaran.
  • Åtgärder mot överhettning av maskinvaran.
  • Virussökningar och säkra program.
  • Organisation av mappstrukturer
  • Inställning och uppdatering av brandväggar.
  • Utbildning av anställda osv.

Det är uppenbart att datorer och kompletta IT-system i sig inte behöver skyddas. Utan information som ska bearbetas eller transporteras digitalt blir hård- och mjukvara trots allt värdelös.

IT-säkerhet enligt lag, ett exempel från Tyskland

Ämnet CRITIS: Lagen om IT-säkerhet fokuserar på kritisk infrastruktur från olika sektorer, t.ex. el-, gas- och vattenförsörjning, transport, finans, livsmedel och hälsa. Här ligger huvudfokus på att skydda IT-infrastrukturen mot cyberbrott för att upprätthålla IT-systemens tillgänglighet och säkerhet. Särskilt dagens digitalt styrda telekontrollsystem måste skyddas.

Dessa skyddsmål står i förgrunden (utdrag):

  • Övervägande av IT-säkerhetsrisker
  • Skapande av IT-säkerhetskoncept.
  • Utarbetande av beredskapsplaner.
  • Allmänna säkerhetsåtgärder
  • Kontroll av Internetsäkerheten
  • Användning av kryptografiska metoder etc.

ISO 27001 - Standarden för informationssäkerhet

Vad säger ISO 27001? Den globalt erkända standarden för ett ledningssystem för informationssäkerhet (ISMS), med dess derivat ISO 27019, ISO 27017 och ISO 27701, kallas:

ISO/IEC 27001:2017 - Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Krav (ISO/IEC 27001:2013 inklusive Cor 1:2014 och Cor 2:2015).

Titeln på denna viktiga standard gör det tydligt att IT-säkerhet spelar en stor roll för informationssäkerheten idag och kommer att fortsätta att öka i betydelse i framtiden. De krav som fastställs i ISO 27001 är dock inte direkt inriktade enbart på digitala IT-system. Tvärtom:

"I hela ISO/IEC 27001 hänvisas till "information" över hela linjen, utan undantag."

I princip görs ingen åtskillnad mellan det analoga eller digitala sätt på vilket denna information behandlas eller ska skyddas.

Ett framgångsrikt genomfört ISMS stöder en holistisk säkerhetsstrategi: det omfattar organisatoriska åtgärder, säkerhetsmedveten personalförvaltning, säkerheten hos de installerade IT-strukturerna och efterlevnad av rättsliga krav.

Informationssäkerhet är ofta mer analogt än vi tror

Den som vill kan tillämpa standardkraven i ISO 27001 på ett helt analogt system och få lika mycket ut av det som den som tillämpar kraven på ett helt digitalt system. Det är först i bilaga A till den välkända ISMS-standarden, som innehåller åtgärdsmål och åtgärder för användarna, som termer som distansarbete eller mobila enheter förekommer. Men även åtgärderna i bilaga A till standarden påminner oss om att det fortfarande finns analoga processer och situationer i varje företag som måste beaktas när det gäller informationssäkerhet.

Den som talar högt om känsliga ämnen via en smartphone offentligt, till exempel på tåget, använder kanske digitala kommunikationskanaler, men hans eller hennes missförhållande är i själva verket analogt. Och den som inte städar upp sitt skrivbord bör låsa sitt kontor för att upprätthålla sekretessen. Åtminstone det förstnämnda, som är en av de mest effektiva enskilda åtgärderna för att skydda information på ett säkert sätt, görs oftast fortfarande för hand, än så länge...

IT-säkerhet kontra informationssäkerhet - Slutsats

IT-säkerhet och informationssäkerhet är två begrepp som (ännu) inte är utbytbara. Snarare är IT-säkerhet en del av informationssäkerheten, som i sin tur också omfattar analoga fakta, processer och kommunikation - vilket för övrigt fortfarande är vanligt i många fall i dag. Den ökande digitaliseringen för dock dessa begrepp allt närmare varandra, så att skillnaden i betydelse förmodligen kommer att bli mer marginell på lång sikt.

Vad du kan förvänta dig av oss

DQS är din specialist på revisioner och certifieringar - för ledningssystem och processer. Med 35 års erfarenhet och kunskapen hos 2 500 revisorer världen över är vi din kompetenta certifieringspartner för alla aspekter av informationssäkerhet och dataskydd.

Har du några frågor?

Kontakta oss!
Utan förpliktelser och kostnadsfritt.

Vi talar inte bara om yrkeskompetens, vi har den: Du kan förvänta dig många års praktisk yrkeserfarenhet från alla våra DQS-revisorer. Samlad i organisationer av alla storlekar och branscher. Med denna mångfald är det garanterat att din DQS huvudrevisor kommer att sätta sig in i din individuella företagssituation och ledningskultur. Våra revisorer känner till ledningssystem av egen erfarenhet, dvs. de har själva inrättat, förvaltat och vidareutvecklat ISMS - och de känner till de dagliga utmaningarna av egen erfarenhet. Vi ser fram emot att prata med dig.

Författare
Gert Krueger

Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.

Loading...