Skydda dig mot hot

Många hot mot informationssäkerheten kan vara förknippad med organisationens verksamhetskultur eller gammal vana. Eftersom den digitala verksamhetsmiljön hela tiden förändras och gamla vanor måste uppdateras, kan tankesättet "så här har man alltid gjort" utgöra ett hot mot informationssäkerheten.

Du kan skydda dig mot hot mot informationssäkerheten genom att utveckla organisationens kompetens för att skydda dig mot hot samt genom att utnyttja den senaste teknologin för att förbättra observationsförmågan och införa skyddsmekanismer. Reservera också tillräckliga resurser för dessa teknologier och underhållet av dem.

Åtkomsthanteringen kontrolleras till exempel genom användning av

• individuella användarnamn
• olika lösenord i olika tjänster
• tillräckligt långa och mångsidiga lösenord
• multifaktorsautentisering
• förhindrande av inloggning från vissa positioner och nätverk samt från vissa enheter.

Följ två principer när du beviljar användarrättigheter till systemen och tjänsterna:

1. Begränsa användarrättigheterna till de mest begränsade behörigheterna som möjligt men som gör det möjligt för användaren eller processen kan utföra sina ålagda uppgifter.
2. Begränsa användarrättigheterna så att de gäller under en så kort tid som möjligt.

När du gör så här minimerar du effektivt riskerna som skulle uppstå om användarrättigheterna skulle hamna i händerna på nätbrottslingar.

Genom en högklassig, välunderhållen, planmässig och aktivt utvecklad åtkomsthantering skyddar man sig mot de vanligaste informationssäkerhetshoten.

Hela personalen ska aktivt informeras om organisationens

• principer för identitetshantering
• processer i anslutning till upprätthållandet av dem och
• anmälningsmekanismer i anslutning till avvikelser.

För att minimera riskerna måste varje företrädare för personalen känna till den aktuella processen för anmälan av avvikelser.

Till exempel, om en av organisationens företrädare för personalen oavsiktligt ger sitt användarnamn och lösenord till en bedrägerisida, kan man minska skadornas omfattning genom att anmäla det inträffade till behöriga instanser så fort som möjligt. På så sätt kan användarnamn som läckt ut tas ur bruk så snabbt som möjligt.

Identitets- och åtkomsthanteringen ska också beaktas i kravspecifikationen för upphandlingar. Identitets- och åtkomsthanteringen är förknippad med många lagstiftningsrelaterade krav som ska beaktas vid upphandlingar. På så sätt förhindrar du att din organisation skaffar sådana system eller tjänster som äventyrar den övriga ICT-miljön.

Exempel på farliga arbetskombinationer, dvs. riskroller i informationssäkerhetsuppgifter:

1. En roll där en och samma person har behörighet att både ge och övervaka användningen av behörigheter.
2. En roll där en person samtidigt agerar både som dataskyddsombud som övervakar genomförandet av informationssäkerheten och som person som beslutar om principerna, processerna och praxisen i anslutning till informationssäkerheten.

I informationssäkerhetsuppgifter ska farliga arbetskombinationer undvikas, eftersom de medför en onödig risk för organisationen. Risken för farliga arbetskombinationer är större i små organisationer.

Försök att i mån av möjlighet identifiera och undvika luckor mellan roller och ansvar.

Det är viktigt att informera hela personalen om rollerna i anslutning till informationssäkerheten. Det ska finnas ersättararrangemang för kritiska roller och det ska säkerställas att båda parterna har tillräcklig kompetens för att sköta ansvaren.

Ledningen ska besluta om processerna för utveckling och uppföljning av kompetensen. Hela organisationen ska följa de planerade processerna och utveckla dem när verksamhetsmiljön förändras.

Utveckling av organisationens informationssäkerhetskompetens kan till exempel kräva

• förändringar i informationssäkerhetsmiljön
• teknologisk utveckling eller
• personalomsättning.

Du minskar informationssäkerhetsriskerna när du beaktar förändringsfaktorerna som en del av planen för kompetensutveckling.

Säkerställandet av tillräcklig kompetens gäller förutom organisationens anställda även viktiga intressentgrupper. Organisationen ska också till exempel genom avtal säkerställa att de aktörer som deltar i leveranskedjorna har tillräcklig informationssäkerhetskompetens.

Vid säkerhetskopiering ska man säkerställa att säkerhetskopiorna är skyddade och tillgängliga när organisationens miljö äventyras och i undantagssituationer. Användningsmiljön ska kunna återställas med rimliga åtgärder.

I principerna för säkerhetskopiering har man fastställt för hur lång tidsperiod organisationen kan förlora uppgifter, så att den ännu kan återställa sin verksamhet.

Om organisationen till exempel inte klarar av att förlora uppgifter som uppkommit under den gångna veckan, ska en säkerhetskopia tas och skyddas till exempel en gång per dygn.

Att dela upp miljöerna i delar är ett bra sätt att begränsa effekterna av de risker som eventuella avvikelserna medför.

Dokumentera din organisations informationssystem, miljöer och anordningar i registret. Uppdatera registret när det sker ändringar i uppgifterna så att registret hålls uppdaterat.

• Rekommendation om informationssäkerhet vid upphandling (Finansministeriet)Öppnas i ett nytt fönster.

• Kriterier för bedömning av informationssäkerheten i den offentliga förvaltningen (Julkri) (Finansministeriet, PDF)Öppnas i ett nytt fönster.
• Utbildning: Julkri – Utvärdera och utveckla informationssäkerheten (eOppiva)Öppnas i ett nytt fönster.

Ledningen ansvarar för att förbinda sig till att skydda den fysiska verksamhetsmiljön och leda den, samt till att genom sitt exempel skapa en god säkerhetskultur även i den fysiska verksamhetsmiljön.

• Inga anordningar som inte hör till organisationen kopplas till den datatekniska miljön (till exempel USB-stickor som hittats på parkeringsplatsen).
• Utomstående personer släpps inte in i organisationens lokaler utan tillsyn.
• Identitetskort ska vara synliga.

• Utbildningsenheten Digital säkerhet i livet (Myndigheten för digitalisering och befolkningsdata)Öppnas i ett nytt fönster.

I anslutning till den fysiska verksamhetsmiljön ska man också beakta skaderiskerna så att organisationens säkerhet och verksamhetskultur inte kan äventyras av misstag eller till följd av oaktsamhet.