Vad gäller IT-säkerhet, så är det fundamentalt att man som organisation implementerar och upprätthåller policyer i syfte att reducera antalet risker och respektive konsekvenser. Dessutom är det en effektiv metod för att säkerställa att organisationen efterlever aktuella lagar och regler, bibehåller operativ kontinuitet och stärker informationsintegritet. Denna typ av administrativa säkerhetsåtgärder kan i vissa fall vara rätt komplexa men bygger samtidigt grunden för de praktiska implementeringarna som behöver införas.
Man brukar säga att effektiv IT-säkerhet börjar och slutar med policyer. De utformas och implementeras för att ge struktur på arbetsplatsen och hjälper ledningen definiera vilken typ av beteende som anses vara säkert och lämpligt, framför allt gällande användning av information och informationsresurser. Dessutom bidrar genomtänkta policyer till en produktiv arbetsmiljö, fri från distraktion och panikartat beslutsfattande. I jämförelse med alternativa informationssäkerhetsförbättringar så är policyimplementering en relativt billig lösning. Däremot är det ingen okomplicerad lösning och medför ofta nya utmaningar, bland annat i form av potentiellt motstånd från anställda. En annan utmaning är arbetet som krävs för att säkerställa att våra anställda känner till, förstår och följer våra aktuella policyer. Det kräver i sin tur ytterligare kontroller så att anställda kontinuerligt integrerar policyer i den dagliga verksamheten.
Varför är policyer så viktiga i framgångsrik informationssäkerhet? För viss typ av information och resurser kan policyer vara det enda skyddet som en organisation kan implementera. För att komma åt känslig information behöver individer utanför organisationen navigera genom organisationens nätverk. För att detta i sin tur ska vara möjligt behöver man komma igenom det yttersta skyddslagret, exempelvis nätslussar, brandväggar, routers etc. och därefter få tillgång till databaserna som har den information som eftersöks. Å andra sidan begränsas anställda inom organisationen betydligt mindre då de i många fall behöver relevant information för respektive yrkesroll. Anställda har även indirekt tillgång till känslig information, exempelvis i fysisk form bara genom att de befinner sig i mötesrum, kontor och liknande. För att skydda känslig information från primärt interna hot, men även externa, kan en organisation använda sig av policyer för att skydda sig mot risker där tekniska lösningar inte riktigt gör jobbet. Det är också viktigt att förtydliga att interna hot inte nödvändigtvis innebär att en anställd avsiktligt anstränger sig för att skada organisationen. Olämpligt beteende, som en konsekvens av bristande kunskap, bör också betraktas som ett internt hot som behöver tas i beaktning. Policyer bidrar till en enhetlig organisation som på ett strukturerat sätt sköter den dagliga verksamheten med lägre risk för kostsamma misstag. Därtill kan policyer hjälpa organisationens ledning att sätta upp kontroller och definiera konsekvenserna för anställda som på ett felaktigt sätt hanterar information och informationsresurser.
Ett par grundläggande regler bör följas när policyer formuleras:
- En policy får aldrig komma i konflikt med lagen.
- En policy måste kunna rättfärdigas i domstol.
- En policy måste få stöd av ledningen och administreras korrekt.
- Samtliga policyer bör bidra till ökad framgång för organisationen.
- Ledningen måste se till att ansvaret för korrekt användning av informationssystem är fördelat på ett rimligt sätt.
- Slutanvändare av informationssystemen bör idealt vara delaktiga i policyformuleringen.
- Policyer måste anpassas till organisationens specifika behov. Implementering av policyer utan noggrann eftertanke kan leda till förvirring och resultera i kontraproduktiva ansträngningar.
För att konkretisera vad en policy är och vad den kan innehålla ska jag nedan beskriva en välkänd typ av policy som är aktuell för allt fler organisationer. Bring Your Own Device (BYOD) är en policy som definierar villkoren och reglerna för att en anställd ska få använda exempelvis en personlig telefon eller laptop på den fysiska arbetsplatsen, alternativt inom organisationens nätverk. Kraven för att det ska vara acceptabelt kan grupperas i två huvudkategorier:
Administrativa krav
Dessa dyker upp i form av policyer, regler eller föreskrifter som ofta innehåller uttalanden om var och hur en användare får använda en mobiltelefon eller annan typ av personlig enhet. Mer specifikt kan organisationen till exempel förtydliga om en mobiltelefon med kamera får användas och information om vilken typ av företagsdata som får sparas på en enhet.
Fysiska krav
Här beskrivs primärt accepterad funktionalitet för en personlig enhet. Ett konkret exempel kan vara att policyn fastställer att samtliga personliga enheter som innehåller företagsdata måste ha förmågan att fjärraderas vid eventuell stöld eller förlust. Säkerhetspersonal kan dessutom ges rätt att implementera säkerhetsprogram som hindrar enheter från att ansluta till organisationens nätverk om specifika kriterier inte uppfylls. Exempel på den typen av kriterier kan vara enheter som har en gammal version på sitt antivirus.
Organisationer har ofta helt olika behov när det kommer till policyer och således är det inte rimligt implementera standardiserade policyer utan noggrann eftertanke. Man bör först och främst förstå sin verksamhet, identifiera aktuella risker och sist men inte minst implementera policyer som minimerar risker och stärker organisationen utifrån bästa förmåga. Det är en kontinuerlig process som kräver regelbundna utvärderingar av befintliga policyer.
Hur arbetar ni med policyer?
Ahmad Gazzawi
BI-konsult på Vimur AB
