Många organisationer lägger ned stora summor på sin it, både för att bygga infrastruktur och på system för verksamhetens arbete. Och för den som vill lägga pengar på teknisk säkerhet finns det knappast några begränsningar. Men hur ofta och hur bra mäter en organisation vilket avkastning de får på sina investeringar?

Det finns olika nyckeltalsmodeller för hur man kan mäta effektiviteten i ett system och hur många kronor man kan spara genom att till exempel införa ett visst it-stöd, större serverkapacitet och mer virtualisering, men om man bryter ut kostnader för säkerhet, finns det då något bra sätt att mäta avkastningen? Det är osäkert om det finns ett bra svar, men det finns definitivt saker man kan göra.

Alla bör infoklassa


Pehr Jern, jurist och it-säkerhetskonsult på Combitech.

I princip alla organisationer bör säkerhetsklassificera sin information. Dels finns ett rent verksamhetsbehov – man bör så långt det är möjligt se till att verksamhetsinformation är tillgänglig för de inom organisationen som behöver den, men bara de personerna. Alla andra, de som inte behöver informationen för att kunna genomföra sina arbetsuppgifter bör inte heller ha tillgång till den.

För att den här informationsklassningen ska fungera behöver man en väl fungerande katalogtjänst som gör det möjligt att styra användarnas åtkomst till olika klasser av information.

Förutom verksamhetens behov av infoklassning så styrs klassningen också av olika legala krav. En allmän regel här är även här att bara den som behöver informationen för att kunna lösa sina arbetsuppgifter ska ha tillgång till den.

Lagarna ger dålig vägledning

Problemet med nästan all svensk lagstiftning är att den inte ger någon större vägledning i hur lagarna ska fungera i en it-miljö. Låt oss titta på några vanligt förekommande lagar som reglerar skydd för olika uppgifter:
Offentlighets- och sekretesslagen gäller i princip bara för myndigheter. För att en myndighet ska skydda sina uppgifter i it-miljön på ett sätt som lagen föreskriver krävs jurister som förstår it och dessutom gärna tekniker som förstår juridik.

Den myndighetschef som inte infört en bra informationsklassificering riskerar att data kommer att röjas för obehöriga på ett sådant sätt att myndighetschefen eller någon med delegerat ansvar gör sig skyldig till brott mot tystnadsplikten. Justitieombudsmannen (JO) utövar tillsyn över lagens tillämpning, men mycket tyder på att juristerna hos JO inte förstår it, eftersom det i princip aldrig kommer några beslut från JO-ämbetet som ger vägledning.

Personuppgiftslagen reglerar hur personuppgifter får hanteras, och gäller både för myndigheter och privata organisationer. Datainspektionen utöver tillsyn över hur lagen efterlevs och här märks en stor skillnad mot JO-ämbetet eftersom Datainspektionen genom beslut och uttalanden ger ganska tydlig vägledning om hur personuppgifter får användas. Hantering av personuppgifter bör framgå av en organisations infoklassningsmodell.

Lagen om straff för marknadsmissbruk vid handel med finansiella instrument – bakom den krångliga titeln regleras bland annat insiderbrott och ett förbud mot att röja insiderinformation. För att de som handlar med värdepapper, till exempel anställda på bank, inte ska röja information på ett sätt som är straffbart krävs vägledning genom infoklassning. Men det måste också finnas funktioner och skyddsmekanismer i it-miljön som gör att infoklassningen får önskad effekt. Vad som krävs i detta avseende framgår vare sig av lagtexten eller i förarbetena till lagen.

Styr användarnas åtkomst

Infoklassning syftar alltså till att styra användarnas åtkomst till och hantering av olika typer av information. För att det ska vara möjligt krävs olika former av funktioner och säkerhetsmekanismer i it-miljön, men det krävs också en tydlig administrativ modell för att vägleda användarna i hur infoklassning ska gå till.

Så hur ser det ut i dag i en genomsnittlig organisation? Vi tar ett exempel som är ganska typiskt. En användare tänker skapa en Word-fil med ett visst innehåll. Innan arbetet påbörjas vänder sig personen till organisationens infoklassningsmodell för att få vägledning om det tänkta filinnehållet är något som får hanteras i användarens klient och det it-system som hon har tänkt lagra det i.

Den vanligaste infoklassningsmodellen har fyra klasser. För enkelhetens skull kan vi kalla dem 1, 2, 3 och 4, där 4 är den högsta klassen och 1 är den lägsta, alltså oklassificerad information.

Kan medföra skada

Vår exempelanvändare tror att informationen som ska skapas kommer att vara klass 2. Hon tittar därför i infoklassningsmodellen för att få vägledning och läser följande: ”Röjande av denna information kan komma att medföra skada för organisationen.”

Hon tittar också i klass 3 och blir inte speciellt mycket klokare: ”Röjande av denna information kan vålla allvarlig skada för organisationen.” Någon ytterligare vägledning finns inte.

Den högsta, fjärde nivån säger att ”Röjande av denna information kan vålla mycket allvarlig skada för organisationen.”

Sida 1 / 2

Innehållsförteckning