Informationssäkerhet handlar om att bli medveten om vilka risker och hot som finns, hur vi ska hantera vår information och vilka åtgärder som på bästa sätt skyddar informationen. Informationssäkerhetsexperten Björn Persson delar med sig av sina bästa tips för att komma igång med ett systematiskt informationssäkerhetsarbete.
Lägg ner mer tid på datakvalitet
Vi hör ofta att framtiden för de flesta verksamheter är att bli mer datadrivna och att det kommer att revolutionera hur vi arbetar. I många fall är det helt sant och vi kan kanske inte ens föreställa oss hur det här kommer att förändra hur vi lever och arbetar. En förutsättning för en datadriven verksamhet är dock att tillgången till bra och korrekt data, och handen på hjärtat hur mycket tid lägger ni ner på att arbeta med datakvalitet?
Ett första steg kan vara att göra ett stickprov med utgångspunkt i den kartläggning av data och behandlingar som gjordes inför GDPR och som kanske behöver kompletteras/uppdateras.
- Undersök vilken källan är för data, intern/extern
- Undersök om det finns en begreppsmodell och definition av data
- Undersök hur insamlingen av data skett
- Undersök vilka kvalitetskontroller som skett hos källan
- Kontrollera den legala grunden för behandlingen och rätten att vidareöverföra data
Se till att ha säkra och tydliga avtal med driftpartners eller molntjänstleverantörer
Informationssäkerheten blir inte bättre än vad du kan kontrollera, och eftersom många köper IT som en tjänst blir innehållet i avtalen med leverantörerna viktiga. Ofta finns det i SLA’er hänvisningar till t.ex. ITIL och andra ramverk som beskriver arbetsprocesser och hur incidenter och fel ska hanteras. Ett problem är att de ramverken i de allra flesta fall bara beskriver hur systemen ska hanteras, inte data i systemen. Ett exempel på det är när det av misstag har kommit in en mängd personuppgifter utöver de som man har rätt att behandla. Som ansvarig för behandlingen är ju det här en personuppgiftsincident som kräver att du agerar så fort du kan. Frågan är dock vilken support du kan kräva från IT-leverantören för att rätta felet om det inte finns avtalat, de flesta avtal är fokuserade på att systemen i sig fungerar och är tillgängliga, inte att rätt information visas. Det kan därför finnas anledning att avtala om SLA’er för felavhjälpning när det finns fel i data som antingen strider mot reglerna eller påverkar systemens funktion.
Vill du lära dig mer om Informationssäkerhet? Anmäl dig till vår Grundutbildning i informationssäkerhet
