Hej och välkommen till Molnguiden. Jag heter Arman Borghem och är Regulatory and Compliance Advisor på Cleura, det europeiska molnet. Den som jobbar med IT anskaffningar eller IT projekt kommer i kontakt med en rad olika begrepp. I det här avsnittet ska det handla om informationssäkerhet. Med största sannolikhet har din organisation personer som jobbar med informationssäkerhet och med största sannolikhet är de personerna skolade i principerna från ISO27000-serien.
Det är en familj av standarder för ledningssystem för informationssäkerhet. Ett ledningssystem för informationssäkerhet. Det fokuserar på tre egenskaper hos information. De egenskaperna brukar kallas KRT efter informationens konfidentialitet, riktighet och tillgänglighet – KRT. Konfidentialitet. Det betyder att endast behöriga kan ta del av informationen.
Riktighet betyder att informationen hålls korrekt och fullständig. Tillgänglighet betyder att informationen går att ta del av när den behövs. Det är alltså informationssäkerhet, åtminstone enligt ISO27000, alltså informationens KRT, konfidentialitet, riktighet och tillgänglighet. Arbete med informationssäkerhet.
Det brukar involvera klassning. Det betyder att en organisation tar en informationsmängd och bedömer hur viktigt det är att just den informationsmängden hålls konfidentiell, riktig och tillgänglig. Ofta används en skala mellan 1-4.. En informationsmängd kan till exempel klassas K1, R4, T3. Enkelt uttryckt betyder dock K1 att informationen kan spridas fritt.
Den behöver alltså inte vara konfidentiell. R4 betyder att det är extremt viktigt att informationen hålls riktig, det vill säga att den inte manipuleras eller skadas. T3 betyder att det är mycket viktigt i alla fall att informationen finns tillgänglig på begäran. Utifrån denna klassningen så dimensionerar sedan organisationen sina åtgärder.
Ju högre klassning desto skarpare säkerhetsåtgärder. Här kan vi också nämna it-säkerhet. it-säkerhetsåtgärder. De är tekniska och är ofta en komponent i att uppnå informationssäkerhet. En IT säkerhets specialist kan till exempel undersöka hur en krypteringsalgoritm har implementerats. Så att information hålls konfidentiell och riktig.
Eller granska hur it-arkitektur är uppbyggd för att vara tillräckligt robust så att information förblir tillgänglig när den behövs. En tumregel inom informationssäkerhet är att den egna organisationen har ett ganska stort mått av självbestämmande. En organisation kan till exempel hantera en risk på olika sätt genom att undanröja dem helt genom att minska sannolikheten att risken inträffar.
Genom att försöka mildra konsekvenserna om risken inträffar eller genom att acceptera risken. En organisation avgör också själv vilka siffror en informationsmängd ska klassas till. Var de olika nivåerna av klassning betyder och vilka säkerhetsåtgärder som ska användas för att möta klassningen.
Informationssäkerhet. Det är viktigt i den mån det är viktigt att information hålls konfidentiell och riktig och tillgänglig när det behövs. Men det är inte heller så att molntjänst användning börjar och slutar med informationssäkerhet. Lyfter vi in personuppgiftsbehandling så tillkommer en rad principer, skyldigheter och rättigheter för individer och de har inte alltid så mycket att göra med just informationssäkerhet.
Det handlar dessutom om specifika lagstadgade skyldigheter, sa en organisation. Styr inte själv på samma sätt vad den måste säkerställa. Men om dataskydd ska det handla mer om i nästa avsnitt.