presspagetop_eng.jpg

Click here to subscribe to press releases from EVRY!

Glöm GDPR – nu är NIS här

Mikael Lingskog - 28 aug 2018

micke_lingskog

Få kan ha missat att GDPR, EU:s nya dataskyddsförordning, trädde i kraft i maj tidigare i år. GDPR ställer höga krav på säkerhetsarbetet för att skydda personuppgifter; med höga böter och skadestånd som följd om det inte uppfylls. Men, under 2018 träder även ett annat spännande initiativ i kraft, nämligen NIS-direktivet (Nätverk och Informationssystem-initiativet). NIS-direktivet stärker säkerheten i verksamheter som levererar samhällskritiska tjänster såsom energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten och digital infrastruktur. Till skillnad från GDPR som har mjuka motiv – att skydda medborgarna – så har NIS hårda motiv; att skydda teknisk infrastruktur. Säkerhets-entusiast som jag är applåderar jag alla initiativ som sätts för att öka medvetenheten kring säkerhet. Men vi måste komma bort från intiativ, och gå till action. Hur gör vi det – tillsammans – på bästa sätt?

IT-säkerhet är inte en teknikfråga längre.

För att få ett modernt, inkluderande och säkert samhälle behöver vi en välfungerande digital infrastruktur – inte minst inom offentlig sektor som hanterar stora mängder med känsliga personuppgifter, trafikövervakning, bankuppgifter och journaldata digitalt. I takt med att den offentliga digitala infrastrukturen utvecklas växer även inbyggda sårbarheter; sårbarheter som inte bara kan komma att påverka känslig data utan även infrastruktur som elnät, fibernät och telekom. Modern säkerhet handlar om att organisera människor, processer och teknik på ett sätt som inte bara motsvarar dagens hotbild, utan även framtidens hotbild. Att betrakta säkerhet som en teknikfråga är en förlegad syn; det är trots allt den mänskliga faktorn som gör att system brister. Riktig säkerhet måste börja med att ledningen visar ett engagemang och inför en strategi avseende säkerhetsarbetet. Dessutom behöver du  ägna tid till att identifiera vad som är skyddsvärt; det blir annars en omöjlig ekonomisk ekvation att lägga all information och teknik på en helt skottsäker lösning. Lägg istället rätt skydd på rätt ställe.

Så börjar du rätt.

Hur mycket jag än skulle önska att det fanns en färdig säkerhetsknapp som jag kunde trycka på, som gjorde att all information och teknik blev säker, så finns den inte. Säkerhet handlar inte om genvägar och engångsinsatser; säkerhet handlar om struktur, rutiner, ansvar och inte minst medvetenhet hos ledning och personal. Att arbeta enligt ett Ledningssystem för Informationssäkerhet (LIS) är en bra början för att få en gedigen säkerhet över tid. När du arbetar efter LIS bygger du en grund för att sätta rutiner och strukturer i organisationen och du håller även koll på ansvarsfördelningen. Säkerhetsarbetet syftar till att klarlägga de säkerhetshot och risker som finns i din organisation och i dina informationssystem, samt att vidta lämpliga säkerhetsåtgärder mot dessa hot och risker. Det är viktigt att personalen har en ordentlig förståelse och deltar för att säkerhetsarbetet ska få betydelse. Men, det viktigaste är att ledningen är med på tåget och förstår sitt ansvar för IT-säkerheten. Vi får inte glömma bort att din organisation bara är så säker som organisationens svagaste länk.

 

/Mikael Lingskog, Information Security Officer på EVRY

 

Så jobbar EVRY med säkerhet

geir.jpg

Geir Remman

VP Corporate Communications, EVRY +47 970 55 017 geir.remman@evry.com

jorn.jpg

Jørn Bremtun

VP Corporate Communications, EVRY +47 922 09 735 jorn.bremtun@evry.com

viola.jpg

Viola Hellström

VP Communications, Financial Services +46 737 08 17 27 viola.hellstrom@evry.com