Myndigheten för samhällsskydd och beredskap (MSB – www.MSB.se) har en egen YouTube-kanal med filmer inom många av deras ansvarsområden. Informationssäkerhet är ett av ansvarsområdena. Filmerna är fria att använda som instruktionsmaterial för organisationer och företag bara man anger källan (Dinsäkerhet.se).
Nedan ett smakprov bland informationssäkerhetsfilmerna.
Vill du se fler filmer ta en titt på MSB’s YouTube-kanal.
MSB (Myndigheten för samhällsbeskydd och beredskap) har tagit fram en arbetshandledning till organisationer som vill ta fram en policy för hantering av surfplattor och andra mobila enheter. Du kan ladda ner den från MSB hemsida för det facila priset av noll kronor (0 kr). Nice!
Fokus i handledningen är på enheter som ägs av den organisationen som tar fram handledningen. Den BYOD-trend (Bring Your Own Device) som pågår tas inte upp mer än i allmänna ordalag.
Handledningen fungerar dock även för de organisationer som tillåter BYOD eftersom den belyser utmaningarna med de mobila plattformarna.
Sedan tillkommer det som för varje organisation är en utmaningen. Nämligen att få sin personal att intuitivt agera säkerhetsmedvetet. Detta gäller oavsett om organisationen äger enheterna eller tillåter BYOD.
Säkrare användning av surfplattor och smarta telefoner – www.MSB.se.
Utbildningsvideo av stundenter för studenter. Vinnarbidrag i tävlingen ”Information Security Awareness Poster & Video Contest 2011″, kategorin för ”Training Video”. Finns ytterligare två kategorier – ”Awareness Posters” och ”PSA Video”.
Titta på den andraplacerade videon i klassen. Inte direkt producerad av MSB. 
Det finns självklart en vinnare också. Inte tråkig men jag gillade tvåan bättre.
Vill du se alla vinnare och hedersomnämnande så titta in på deras YouTube kanal.
Anne-Marie Eklund Löwinders upprop i Computer Sweden ”Kräv servrar i Sverige” är lika relevant för företag som för myndigheter. Det finns ingen exakt siffra på hur många företag som har sin mailtjänst hos ett traditionellt webbhotell. Det finns uppgifter om att någonstans mellan 70-80 procent av sajterna under se-domänen driftas på traditionella webbhotell. Det är inte orimligt att anta att andelen företag som har sin mailtjänst hos de traditionella webbhotellen är i samma storleksordning.
Samma intresse som jag har att mottagaren skyddar min information när jag mailar myndighetessverige, finns säkerligen hos många som mailar till företagssverige.
Därmed blir det viktig för varje företagare att ta reda på var just din mailleverantör har sina servrar stående. Om inte annat för att veta vilka risker som är inbyggda i företaget mailkommunikationskedja med kunderna. Om det sedan leder till ett byte av leverantör är en helt annan fråga.
REFERENSER
”Kräv servrar i Sverige” – Computer Sweden 28/2 2012
"Kräv servrar i Sverige" – IDG.se
Hitta rätt hem för din sajt – Internetworld 27/4 2011
"Hitta rätt hem för din sajt" – IDG.se
Gick igen en låda med gamla papper i helgen och snubblade på en uråldrig skrift från Gartner. Redan 1998 skrev Gartners analytiker William J. Malik ett kort papper som heter ”An Information Security Self-Assessment.”. Så här mer än 10 år senare tycker jag papperet fortfarande är högst relevant.
William Malik hävdade att:
”There is a simple, three-part question senior executives should ponder before investing in information security products. The question will help to steer information security efforts into the most profitable channels. For example, consider a typical employee of the firm. Suppose this individual observes someone else doing something that might be wrong with the firm’s computer systems. Three questions then arise: 1) Would this employee know whether the activity was wrong? 2) Would this employee choose to report the misuse of the system? 3) Would this employee know how to report the incident?”
Jag tycker att de tre frågorna fångar kärnan i det som informationssäkerhetsmedvetande i en organisation innebär. Hur vet ansvariga i organisationen att individen har kunskap och är motiverad att agera på ett för organisationen lämpligt sätt. Herr Malik dra långtgående slutsatser i sin tolkning av möjliga svar som du kan läsa nedan.
“This simple enterprise self-test will help executives determine the most important step towards bolstering their enterprise’s security stance: Do employees understand the difference between appropriate and inappropriate use? Will employees report apparent violations? Do employees know how to report apparent violations? If the answer to all three questions is yes, then it does not matter which specific security technology management deploys, because the employees will make it work. In fact, the employees will demand security technology in the same manner that they demand safe and lighted parking areas. But if the answer to one or more of the questions is no, it does not matter which security tools management deploys, because the employees will spend their energies circumventing those same security controls”.
Även om jag inte skriver under på hans slutsats till hundra procent så ligger det oerhört mycket i vad han skriver. Jag tycker att även du skall ställa dig dessa frågor innan nästa investeringsbeslut. Kanske är det inte ett nytt datorsystem som är din utmaning.
Jag har aldrig hört någon av mina vänner skryta med att de är sååååå informationssäkerhetsmedvetna. Har faktiskt aldrig hänt. Inte ens de som arbetar med informationssäkerhet. Miljömedveten är varenda människa om du frågar dem och modemedveten vill nog många vara. Informationssäkerhetsmedvetenhet talar ingen om. Konstigt med tanke på att vi anser oss leva i ett informationssamhälle och att många företag menar att det egna informationsövertaget gentemot konkurrenterna är A och O.
Vad är då Informationssäkerhetsmedvetenhet? En googling på ordet ger knappt 300 träffar idag och i SIS (Swedish Standards Institute)-boken ”Terminologi för Informationssäkerhet” finns inte ens ordet med. Jag har inte hittat en vedertagen svensk definition. Men på engelska hittar vi några intressanta definitioner.
ISF (Information Security Forum) definierar det engelska begreppet ”IT security awareness” på följande sätt:
IT security awareness is the degree or extent to which every member of staff understands:
- the importance of IT security
- the levels of IT security appropriate to the organsation.
- their individual security responsibilities
… and acts accordingly.
Amerikanska NIST (National Institutes of Standards and
Technology) definierar begreppet medvetenhet (eng. awareness) inom ramen för IT säkerhet på följande sätt:
”Awareness is not training. The purpose of awareness presentations is simply to focus attention on security. Awareness presentations are intended to allow individuals to recognize IT security concerns and respond accordingly. In awareness activities the learner is a recipient of information, whereas the learner in a training environment has a more active role. Awareness relies on reaching broad audiences with attractive packaging techniques. Training is more formal, having a goal of building knowledge and skills to facilitate job performance.” [NIST SP 800-16]
Dessa två definitioner talar om det smalare begreppet IT-säkerhet. Jag väljer att bredda detta synsätt till det vidare begreppet informationssäkerhet för att poängtera att det inte enbart handlar om IT-baserad informationshantering. Tillsammans pekar de på fyra mycket viktiga aspekter av begreppet informationssäkerhetsmedvetenhet.
- Omfattar alla som hanterar organisationens information. Långt ifrån bara IT- och säkerhetspersonal
- Förutsätter att organisationen har bestämt sig för vad som är skyddsvärt och vad som förväntas av de som hanterar organisationens information
- Förutsätter att individen agera på ett sätt som är förankrat i kunskapen om hur viktig den hanterade informationen är för organisationen
- Skapandet av medvetna medarbetare i en organisation handlar om ett kontinuerlig och strukturerat arbete med en ständig förnyelse av metoden att sprida budskapet. Mycket likt klassisk opinionsbildning.
För en organisation som konkurrera på en marknad där informationsövertaget är viktigare blir det naturligt att säkerställa att medarbetarna har rätt informationssäkerhetsmedvetenhetsnivå. En okänd eller för låg nivå utsätter organisationen för en onödig risk att förlora värdefull information pga. ren okunskap även om pengar satsats på medvetandegörande arbete. För hög nivå innebär onödigt satsade pengar och riskerar även att bygga oönskade hinder för medarbetarna i deras dagliga arbete. Att hitta rätt nivå förutsätter ett kontinuerligt och strukturerat arbete i allt från att identifiera risker och hot mot verksamheten till att kommunicera krav och förväntningar till de anställda och följa upp effekterna av kommunikationen. Och i längden är det en god affär.
Logiskt sett så borde det ligga i varje organisationslednings intresse att jobba för att informationssäkerhetsmedvetenhet blir en innegrej.