Listan kan göras lång. Driftstopp, skadlig kod eller läckta personuppgifter – det är bara några av riskerna med bristande informationssäkerhet. Och motsatsvis kan ett målmedvetet arbete med säkerheten belöna sig. Lars Söderlund berättar om hur implementeringen av standarden ISO 27001 ger verksamhetsnytta.

Text: Susanne Rydell

Lars Söderlund, seniorkonsult inom informationssäkerhet, beskriver ledningssystemstandarden för informationssäkerhet ISO 27001 som krävande, nödvändig – och en av framtidens viktigaste standarder.

Att arbeta med informationssäkerhet är en nödvändighet för den organisation som vill nå sina verksamhetsmål, konstaterar Lars Söderlund. Samtidigt ser han att många har kommit igång sent. Inför GDPR blev det ett yrvaket uppvaknande för många. Organisationer fick skapa nya rutiner och försöka få överblick över information som de knappt visste att de hade lagrat.

– Några företag hade förstås arbetat systematiskt länge. Många andra har fortfarande bara kommit en bit på vägen, mycket återstår att göra, säger Lars Söderlund.

Arbetet med informationssäkerhet som ingår i GDPR är bara en del av arbetet. Det finns många andra hot mot en fungerande verksamhet, och riskerna förändras ständigt.

– Nu har många organisationer hittat metoder för att hantera skadlig kod. Men det kommer nya hot, till exempel DDos-attacker, säger Lars Söderlund.

DDos-attacker är överbelastningsattacker, där resultatet kan bli att en organisations webbsida eller nätverk inte går att använda. Ett annat område där vi bara sett början är utvecklingen inom Internet of Things (IoT).

– Det skapar helt nya risker och hotbilder när allt från bilar till kylskåp kan hackas, konstaterar Lars Söderlund.

Tuff och krävande

Men hur ska man tänka när utvecklingen går blixtsnabbt? Lars Söderlund förespråkar ISO 27001, den globala ledningssystemstandarden för hur organisationer kan arbeta systematiskt med informationssäkerhet. Lars Söderlund är själv med både i SIS svenska kommitté (SIS TK 318) och den internationella kommitté (ISO/ IEC JTC1 SC 27) som arbetade fram den nya versionen av ISO 27001. Han sticker inte under stol med att standarden kan upplevas som krävande.

– Det är en tuff standard. Det kräver en större insats att certifiera sig mot ISO 27001 än mot flera av de andra ledningssystemstandarderna, säger han.

Bakgrunden är förstås att organisationer arbetar i alltmer komplexa miljöer och system. Riskerna blir därmed allt större. ISO 27001 innehåller fler – och mer detaljerade – krav än flera andra ledningssystemstandarder.

– Riskerna som måste bedömas kan handla om allt från driftsskydd till att hantera behörigheter och frågor om outsourcing, Det finns oftast inga manuella reservrutiner längre, de flesta organisationer står och faller med sina informationssystem. De här frågorna handlar i första hand om verksamhetsnytta och standarden träffar mitt i prick, framförallt för tjänstebaserade organisationer, säger han.

Verksamhetsnytta

Den övergripande strukturen är densamma som i de andra ledningssystemstandarderna. De speciella kraven, där ISO 27001 skiljer sig från exempelvis ISO 9001 och ISO 14001, finns i en normativ bilaga med 142 säkerhetsåtgärder som organisationen måste beakta.

– Åtgärderna är generell praxis när det gäller informationssäkerhet. Det kräver ganska mycket arbete att certifiera sig mot 27001, men det ger samtidigt en nödvändig grund för ett systematiskt arbete med informationssäkerhet, säger han.

Sverige ligger efter flera andra länder när det gäller certifiering enligt ISO 27001.

– I Nederländerna är uppskattningsvis fyra gånger så många företag certifierade som i Sverige, säger Lars Söderlund.

Att få organisationer är certifierade i Sverige har flera konsekvenser, enligt honom.

– Det innebär att svenska leverantörer förlorar affärer utanför Sverige där man kräver certifiering. Vi borde ha kommit längre, säger han.

Det är heller ännu inte särskilt vanligt att certifiering mot standarden krävs i offentliga upphandling, enligt Lars Söderlund. Han hoppas på en förändring.

– Jag tycker att offentlig förvaltning skulle driva på mer. Man får en enorm verksamhetsnytta av att arbeta systematiskt med informationssäkerhet.

Läs mer om informationssäkerhet och ISO 27000-serien.