SVT:s VD Hanna Stjärne gick igår ut med att SVT utsatts för cyberattacker och nu meddelar att de kommer stärka sitt säkerhetsarbete. Men hur stärker man ett säkerhetsarbete?
Först och främst handlar det om att du, i din organisation måste ha koll på vilka risker och sårbarheter som finns inom organisationen. Ett första steg är att kartlägga sin egen organisation eller tjänst för att skapa en nulägesbild över vilka sårbarheter som kan tänkas finnas samt hur dessa eventuellt kan påverka er. Vet ni inte hur ni kan påverkas och av vad så blir det även med stor sannolikhet större konsekvenser när ni väl blir drabbade av en incident eftersom ni då inte har kunnat förbereda er på något sätt.
Om du gör detta arbete själv så kan det vara bra att börja med en avgränsad del av organisationen, till exempel en viss IT-tjänst eller en viss avdelning som arbetar med något som är viktigt för verksamheten. Efter kartläggningen kan ni gå vidare med att tillsammans med personal från utvald IT-tjänst eller avdelning försöka identifiera risker och sårbarheter, dessa bör även i samma grupp bedömas och prioriteras så att ett åtgärdsarbete kan påbörjas. De allvarligaste riskerna bör så klart åtgärdas först!
Följ dessa enkla steg för att komma igång med ert säkerhetsarbete:
1. Kartlägg utvald del av verksamheten.
En kartläggning handlar om att bygga upp kontexten för att skapa en förståelse för hur en tjänst eller en del av en verksamhet fungerar, vad den kräver för resurser samt vad dess styrkor och svagheter är.
2. Identifiera risker tillsammans genom förslagsvis workshops.
Här handlar det om att skapa en lista över alla risker som bedöms vara relevanta eller möjliga i kontexten av kartläggningen, ju bättre kartläggning som görs i steg ett desto enklare blir detta steg.
3. Bedöm riskerna (förslagsvis i workshop-format).
Här ska organisationen fastställa kriterier för bedömning, det vill säga vad som är allvarligt för oss, hur bedömer vi sannolikhet samt vilken typ av konsekvenser ska vi ta hänsyn till med mera. Allt detta sätts med fördel in i så kallade bedömningsmallar som ni använder när ni bedömer era risker – detta för att skapa en enhetlig bedömning av alla risker.
4. Prioritera riskerna utefter bedömningarna.
I detta steg ska ni prioritera era risker utifrån de ni bedömt som allvarligast, det viktiga här är att ni kan motivera er prioritering. Här får ni mycket hjälp av bedömningsmallarna och arbetet från föregående steg.
5. Föreslå åtgärder för att minska eller eliminera riskerna.
Föreslå åtgärder som ni tror kan påverka riskerna på ett positivt sätt, se till att ni föreslår åtgärder som påverkar allvarliga risker. Ibland kan en åtgärd påverka många, eller till och med alla risker, men ibland krävs det en eller flera åtgärder per risk – allt beroende på situationen i sig.
6. Upprepa processen.
Se till att upprepa processen för att hålla ert säkerhetsarbete levande men även för att se till så att åtgärderna faktiskt har en effekt på riskerna samt att de inte skapar några nya risker.
Vi på Secify har konsulter som arbetar med att hitta risker och sårbarheter i din organisation. Hör av dig om du behöver hjälp med att komma igång med ditt riskarbete.