Rätt val varje dag – vägen till informationssäkerhet
Medarbetare som gör rätt val varje dag. Det är grunden i arbetet med informationssäkerhet – ett område där PRI fortsätter att flytta fram positionerna. Genom kompetensutveckling, interna förbättringar och via arbetet med den högaktuella DORA-förordningen.
Fler hot och ökande risker gällande informationssäkerheten. Så ser vardagen ut i många verksamheter. Det har bidragit till att också PRI:s arbete accelererat de senaste åren, bland annat genom breddad kompetens, interna förbättringsprojekt samt återkommande informations- och utbildningsinsatser. Under 2023 rekryterades Marja Juoperi som informationssäkerhetsansvarig.
- Jag planerar och driver strategiska informationssäkerhetsfrågor. Det innebär att jag arbetar nära verksamheten för att förverkliga PRI:s planer och ambitioner, säger hon.
Hon arbetar tillsammans med Markos Akathiotis som har ett stödjande och kontrollerande ansvar för PRI:s informationssäkerhetsarbete. Ett arbete som inte bara tar sikte på tekniken, utan även på människorna som använder den och organisationen de arbetar i.
Växande hot
Detta är ett område där hoten blir fler. Sedan Sveriges inträde i NATO har antalet överbelastningsattacker ökat med nära 470 procent. Samtidigt växer även antalet ransomware-attacker, där skadlig programvara tar kontrollen över datorer och används i utpressningssyfte mot företag och myndigheter. Vid sidan om hot från avsiktliga handlingar gäller det också att hantera risker relaterade till oavsiktliga handlingar, där slarv eller obetänksamhet kan äventyra säkerheten.
- Vår roll är att skydda informationstillgångar inom PRI och hålla riskerna på en acceptabel nivå, sammanfattar Markos Akathiotis. Vi initierar olika projekt och implementerar rätt åtgärder och rutiner runt om i verksamheten.
- Vi bygger för både nuet och framtiden, inflikar Marja Juoperi. Och det vi arbetar med är på flera sätt annorlunda, dels eftersom 99 procent av insatserna knappt märks, dels för att de ska resultera i att allt bara är som vanligt.
Hon ger samtidigt ett handfast tips kring vad som krävs för att hålla säkerheten på en hög nivå.
- Grunden i arbetet är att alla i en organisation kommer ihåg att göra rätt val varje dag. Då kan hot och risker hanteras på ett bra sätt.
Arbeta systematiskt
Mycket sker således bakom kulisserna. Ett exempel är ledningssystemet. Det baseras på den internationella säkerhetsstandarden ISO 27000 och är ett praktiskt verktyg. Tillsammans med andra insatser betonar Markos att det ger bättre styrning och kontroll. Som en följd hanteras idag informationssäkerheten mer systematiskt. Marja pekar också på att tydligheten ökat internt och att säkerhetsarbetet gjorts mer heltäckande.
- Ett annat exempel är att vi bytt IT-partner till ett företag som effektivare möter våra behov och högre ställda krav på säkerhet, berättar Markos. Vi får bland annat ökad visibilitet genom bättre statistik och analyser och kan därmed dra slutsatser som höjer nivån i säkerhetsarbetet.
Till nyheterna hör även EU-förordningen om digital operativ motståndskraft. Den förkortas DORA och börjar gälla i januari 2025. DORA ställer nya krav på företag i den finansiella sektorn vad gäller risker kring informations- och kommunikationsteknik (IKT). Många av de saker som fångas upp i DORA arbetar PRI redan med, men förordningen ger ändå draghjälp.
- DORA kommer väldigt lägligt, konstaterar Marja. Förordningen sätter ljus på flera viktiga frågor. Nu kopplas många av dessa till regulatoriska krav som är rättsligt tvingande. Det ger en ökad tyngd åt det vi håller på med.
Kraven i DORA är lika omfattande för en stor bank som för en mindre aktör som PRI. En effekt är till exempel att rapporteringen av IT-relaterade incidenter byggs ut. För PRI:s del innebär det bland annat en utökad övervakning av incidenter. Även behörighetsadministrationen blir mer omfattande.
Rätt val varje dag
Information och utbildning är andra självklara insatser som stärker informationssäkerheten. I styrelse och ledning har dessa frågor länge haft en plats på agendan. Markos och Marja informerar regelbundet om hotbilder och risker. Allt oftare också i övriga delar av organisationen.
- När frågorna växer i betydelse påverkas fler medarbetare, som till och med kan få nya eller anpassade roller, säger Markos. Vid sidan om rena utbildningar används intranätet för att sprida information.
Bland kunderna ökar också medvetenheten. Företag och organisationer förväntas ha kontroll över sina leverantörskedjor för att minimera sårbarheten.
- Nu möter vi nya krav som kan handla om att kunderna behöver genomföra mer omfattande revisioner eller utvärderingar kring informationssäkerheten hos oss, säger Markos.
Om cirka ett halvår ska DORA-förordningen vara uppfylld. Därför blir 2024 ett krävande år, där mycket med koppling till företagens informations- och kommunikationsteknik ska genomlysas.
- Men eftersom detta är ett område som är i förändring kan man säga att vi aldrig blir klara, påminner Marja Juoperi. Det krävs ständiga förbättringar för att hålla säkerheten på en hög nivå.