Hva er informasjonssikkerhet?

Informasjonssikkerhet handler om å beskytte all informasjon på en måte som gjør at den er korrekt, tilgjengelig når den trengs og bare kan nås av de rette personene. Dette gjelder både digital informasjon, dokumenter på papir og det som sies muntlig i møter eller samtaler. Alle bedrifter, myndigheter og organisasjoner, og faktisk også privatpersoner, berøres av informasjonssikkerhet hver dag.

Tre grunnprinsipper

Det finnes tre viktige prinsipper som danner grunnlaget for alt arbeid med informasjonssikkerhet:

  • Konfidensialitet betyr at bare de som har tillatelse får se eller bruke bestemt informasjon. Det kan for eksempel dreie seg om personopplysninger, kunderegistre, økonomiske opplysninger eller interne arbeidsdokumenter. Hvis konfidensiell informasjon havner i feil hender, kan det få alvorlige konsekvenser både for personer og for hele virksomheten.
  • Integritet innebærer at informasjonen er korrekt og at ingen uvedkommende kan endre den. Feilaktige tall eller falske dokumenter kan føre til feil beslutninger og skape store problemer, særlig i virksomheter som er avhengige av pålitelig informasjon.
  • Tilgjengelighet handler om at informasjonen alltid må være tilgjengelig når den trengs. Det spiller ingen rolle om alt er korrekt og godt beskyttet dersom ingen kan få tilgang til det på riktig tidspunkt. En driftsforstyrrelse, et IT-havari eller bare en glemt innlogging kan raskt bli et problem dersom virksomheten stopper opp.

I mange virksomheter snakker man også om kritikalitet, altså hvor viktig en bestemt informasjon eller et bestemt system er for at virksomheten skal fungere. Jo høyere kritikalitet, desto større krav stilles det til beskyttelse og beredskap.

Hvordan beskytter man informasjonen?

Arbeidet med informasjonssikkerhet handler om å ha kontroll på både teknologi, rutiner og atferd. Det er ikke nok bare å ha sterke passord eller låste arkivskap; hele håndteringen må være gjennomtenkt. Her er noen viktige deler:

  • Informasjonssikkerhetspolicy: Alle virksomheter bør ha en tydelig policy som beskriver hvordan informasjon skal håndteres, hvilke regler som gjelder og hvem som har ansvar for hva. En god policy er lett å forstå og brukes i hverdagen, ikke bare på papiret.
  • Opplæring og rutiner: Det er viktig at alle som arbeider i organisasjonen forstår hvorfor informasjonssikkerhet er viktig og vet hvordan man skal håndtere mistenkelige hendelser. Regelmessig opplæring og gjennomgang av rutiner er en viktig del av arbeidet.
  • Teknisk beskyttelse: IT-sikkerhet er en viktig del av informasjonssikkerheten. Det handler om brannmurer, antivirus, tilgangsstyring, sikkerhetskopiering og andre tekniske løsninger som gjør det vanskeligere for uvedkommende å få tilgang til eller påvirke informasjonen.
  • Fysisk sikkerhet: Dette handler om å beskytte lokaler og utstyr. Låser på dører, adgangssystemer, brannvern og beskyttelse av serverrom eller andre sensitive områder. Også papirer og permer må oppbevares sikkert.
  • Kontroll av kritisk informasjon: Særlig sensitiv informasjon, eller det som er avgjørende for virksomheten, trenger ekstra beskyttelse. Det kan være spesielle rutiner for sikkerhetskopiering, ekstra tilgangskontroller eller raskere tiltak dersom noe skulle skje.

Hvilke regler og standarder finnes?

Arbeidet med informasjonssikkerhet styres ofte av standarder og lover. ISO 27001 er en internasjonal standard som gir et rammeverk for hvordan man systematisk arbeider med informasjonssikkerhet. For personopplysninger gjelder GDPR i hele EU, og i Sverige har mange myndigheter egne forskrifter for håndtering av sensitiv informasjon.

Å følge en standard eller regel er ikke bare et juridisk spørsmål, men også en måte å skape trygghet for kunder, medarbeidere og ledelse på.

Informasjonssikkerhet i praksis

Godt arbeid med informasjonssikkerhet merkes i hverdagen. Det handler om at alle kjenner reglene som gjelder, at beskyttelsen er tilpasset virksomhetens behov og at det finnes en plan dersom noe skjer. Mange bedrifter velger å regelmessig teste rutinene sine, øve på hendelser og gjennomgå både tekniske løsninger og menneskelig atferd.

Informasjonssikkerhet er et område som stadig utvikler seg og som påvirkes av både teknologi og menneskers vaner.

Ved å arbeide aktivt og tenke helhetlig kan man skape en beskyttelse som fungerer over tid og som gir trygghet både når alt går som normalt og dersom noe uventet skjer.