Informationssäkerhet måste upp i styrelse och högsta ledning!

Informationssäkerhetsfrågor har blivit allt viktigare inom många delar av samhället – inte minst i fastighetsbranschen. Masse Antonsson, CIO på Specialfastigheter, tycker att informationssäkerhetens betydelse för fastighetsägare inte nog kan betonas.

Informationssäkerhet är en viktig fråga. Varför?

– Den digitala mognadsgraden har ökat generellt i hela samhället, och att idag tänka sig en tillvaro utan modern teknik är nästan omöjligt. Det innebär möjligheter, men också nya typer av säkerhetshot som ställer nya, högre krav på informationssäkerhet. Mycket information hanteras idag i IT-system vilket gör att informationssäkerhet ofta likställs med IT-säkerhet, men det är viktigt att förstå att den är så mycket mer. Det handlar lika mycket om människor och processer för att hålla ihop helheten. Det kräver ett systematiskt, kontinuerligt arbete utifrån informationstillgångar, hot och risker.

Josef

– Man kan säga att informationssäkerhet är en organisations förmåga att hantera sina informationstillgångar på ett tillräckligt säkert sätt. Det handlar om att hindra information från att läcka ut, förvanskas eller förstöras, men också att rätt information finns tillgänglig för rätt personer, i rätt tid. Konsekvensen av bristande informationssäkerhet kan bli driftstörningar i verksamheten, att varumärke och rykte påverkas negativt samt att information går förlorad eller rentav stjäls. Ansvaret för informationssäkerhetsarbetet hos oss på Specialfastigheter ligger hos ledningen, och vi har också en styrelse som är engagerad och efterfrågar information och uppföljningar inom det här området. Vi bedriver ett systematiskt informationssäkerhetsarbete och är dessutom certifierade enligt det gällande ledningssystemet för informationssäkerhet, ISO/IEC 27001:2013.

Vilket ansvar har fastighetsägaren när det gäller informationssäkerhet?

– En fastighetsägare ansvarar för fastighetens tekniska standard och säkerhet. När det kommer till fastigheter och digital fastighetsautomation utökas det traditionella säkerhetsbegreppet – det vill säga fysisk säkerhet och fysiskt skalskydd, brandskydd, säkerhet i form av redundant utrustning och system – med informationssäkerhetsbegreppet. Och med digital fastighetsautomation menar vi ett eller flera system som styr och övervakar olika fastighetsfunktioner, till exempel värme, luftkonditionering, och brandlarm.

Byggjobbare lyfter en spade med cement från en skottkärra

– I den traditionella IT-världen har vi arbetat länge med informationssäkerhet och hantering av system genom hela livscykeln från initiering till förvaltning. Det finns ramverk och ”best practice” för styrning, förvaltning, organisation, loggning, backup mm. Mycket av detta saknas fortfarande i den digitala fastighetsautomationsvärlden och vi som fastighetsägare måste ställa högre krav på informationssäkerhet i de här systemen.

Vilka tycker du är de vanligaste bristerna när det handlar om informationssäkerhet i fastigheter?

– Att säkerhetsfrågorna inte är med från början i kravspecifikationer, behovsanalyser och upphandlingar. Det blir svårt och dyrt att uppnå en godtagbar säkerhetsnivå i efterhand. Här behöver fastighetsägare och leverantörer ta ett gemensamt ansvar då effekten av de investeringar man gör i bland annat digital fastighetsautomation hotas av dålig säkerhet.

Har du några tips till företag som vill förbättra sitt säkerhetsarbete?

– Jag är en stor förespråkare av ledningssystem, och speciellt ledningssystem för informationssäkerhet. Att ha tydliga processer och rutiner hjälper oss att arbeta systematiskt och riskbaserat med området informationssäkerhet. Det har också varit en mycket god bas för hantering av krav från andra regelverk, till exempel GDPR.

– Ett annat tips är att frågor om informationssäkerhet måste upp i styrelse och högsta ledning. För mig handlar det om att odla en säkerhetskultur där alla våra medarbetare är medvetna om riskerna och har kunskap kring informationssäkerheten. Utbildning är viktigt och jag rekommenderar korta "nanoutbildningar" som gör det lättare att hålla medvetenheten uppe med små doser och ofta. De bästa dagarna på jobbet är när en medarbetare ringer och har frågor kring informationshantering eller vill ha hjälp med rätt kravställning mot en leverantör. Då känner jag att vi har nått fram!

Vill du veta mer?

Hur kan din fastighet bli IT-säkrare? Vet du hur du kan göra en säkerhetsanalys av ditt företags verksamhet? Varmt välkommen att kontakta oss så berättar vi gärna mer!