Compliance vs robusthet – ISO 27000 i praktiken
När organisationer börjar arbeta med informationssäkerhet enligt ISO 27000 uppstår ofta samma fråga. Vad är egentligen nyttan i praktiken? Vad ger ISO 27000 i praktiken?
Det är lätt att uppfatta standarder som ett sätt att uppfylla krav från kunder, revisorer eller lagstiftning. Och visst finns det en sådan dimension. Men den verkliga nyttan med ett systematiskt arbete enligt ISO 27000 ligger någon annanstans – i hur organisationen fungerar när förutsättningarna förändras.
I grunden handlar informationssäkerhet inte bara om data eller IT-system. Den handlar om verksamhetens förmåga att fortsätta fungera när något oväntat inträffar.
Kontinuitet – när något slutar fungera
En central del i ISO 27000 är kopplingen till kontinuitetshantering. Vad händer om ett system ligger nere, om en leverantör inte längre kan leverera eller om information inte längre är tillgänglig?
Ett systematiskt arbete med informationssäkerhet innebär att organisationen identifierar sina mest kritiska informationsflöden och beroenden. Därifrån kan man bygga strukturer för redundans, återställning och alternativa arbetssätt.
Det är först då organisationen får en verklig förmåga att hantera störningar, inte bara en plan i en pärm.
Personalsäkerhet – människan i centrum
En annan viktig aspekt i ISO 27000 är personalsäkerhet. Många incidenter kopplade till informationssäkerhet börjar inte i tekniken, utan i hur människor arbetar med information i vardagen.
Det kan handla om allt från otydliga roller och ansvar till bristande kunskap om hur information ska hanteras.
Vi behöver skapa organisationer där tydliga processer för introduktion, utbildning, ansvar och uppföljning råder. Vi ska skapa en säkerhetskultur där medarbetare förstår sin roll i att skydda verksamheten. Det minskar både risken för misstag och sårbarheten för externa hot.
Verksamhetsskydd – helheten
Informationssäkerhet är en del av ett bredare verksamhetsskydd, till exempel när information skyddas på ett strukturerat sätt stärks skyddet av verksamhetens processer, resurser och relationer och organisationen blir mer robust.
Ett genomtänkt arbete enligt ISO 27000 hjälper organisationer att:
- skapa tydlig styrning och ansvar
- identifiera kritiska beroenden
- hantera risker mer systematiskt
- stärka förmågan att hantera störningar
Det gör säkerhetsarbetet till en integrerad del av verksamheten – inte en separat funktion.
Från dokument till förmåga
Den största utmaningen ligger sällan i att ta fram policys eller riktlinjer. Den verkliga utmaningen är att omsätta dem i arbetssätt som fungerar i vardagen, oftast är det just ett systematiskt arbete som gör skillnad.
När vi kopplar informationssäkerhet till kontinuitet, personalsäkerhet och verksamhetsskydd skapar vi något mer än compliance, vi skapar robusthet.
Och i en tid där beroenden mellan teknik, människor och verksamhet blir allt tydligare är det kanske just den förmågan som är mest värdefull.