Kategoriarkiv: Säkerhetsledning

Förslag på arbetssätt för informationssäkerhet i Försvarsmakten

I ett projekt har jag tagit fram en modell över tänkt arbetssätt för informationssäkerhetsarbete i Försvarsmakten. Modellen består av tre delar; förebygga, hantera och förbättra. Varje del är i sin tur indelad i fyra områden. Modellen som är anpassad för Försvarsmakten är baserad på SS-ISO/IEC 27001:2014 och Natos modell för indelning av IT-säkerhetsförmågor. I modellen används verb för att uttrycka att den uppmuntrar mänskliga handlingar i arbetet.

Fortsätt läsa

Lämna en kommentar

Publicerad i Säkerhetskultur, Säkerhetsledning, Säkerhetsskydd

Förstöring av hemliga pappershandlingar – och hur de kan återskapas

Exempel på ofullständig förstöring av pappershandlingar. Fragment av papper med läsbar text, ibland hela meningar.

Exempel på ofullständig förbränning av pappershandlingar. Fragment av papper med läsbar text, ibland hela meningar, finns i behållaren där man har eldat.

Information, som ur något konfidentialitetsperspektiv har ett värde för en organisation och som inte längre behövs, måste skyddas så att någon obehörig inte kan ta del av den. Sista steget i livscykeln för information är förstöring, om den inte har tagits om hand för att bevaras till eftervärlden.

Pappershandlingar brukar vanligtvis förstöras genom tuggning i dokumentförstörare eller genom att eldas upp. Om förstöringen inte är tillräckligt väl genomförd kan den ”förstörda” informationen helt eller delvis återskapas. Något som kan vara en katastrof för verksamheten.

Fortsätt läsa

3 kommentarer

Publicerad i Säkerhetsledning, Säkerhetsskydd

Reflektioner om informationssäkerhetsarbetet på nio myndigheter och cybersäkerhet i Försvarsmakten

Informationssäkerheten på nio myndigheter har granskats av Riksrevisionen. Resultatet? Den samlade slutsatsen är att arbetet ligger på en nivå som är märkbart under vad som är tillräckligt. Många myndigheter har svårt att få till ett ändamålsenligt informationssäkerhetsarbete och den bild som framträder bedöms, enligt Riksrevisionen, gälla för flertalet myndigheter i statsförvaltningen. Fortsätt läsa

6 kommentarer

Publicerad i IT-säkerhet, Säkerhetskultur, Säkerhetsledning, Utredningar

Överger MSB 27001?

MSB tar bort den hårda kopplingen till standarderna SS-ISO/IEC 27001:2006 och SS-ISO/IEC 27002:2005 i förslaget till nya föreskrifter om statliga myndigheters informationssäkerhet. Betyder det att MSB överger standarderna? Hur ska det då gå för myndigheternas informationssäkerhet? Fortsätt läsa

1 kommentar

Publicerad i Säkerhetsledning

Det sårbara digitala samhället

Det är mycket bra att DN i artikelserien Det sårbara digitala samhället har granskat IT-säkerheten och pekat på några av de brister som omger oss i allt från bredbandsmodem, webbkameror, skrivare, arbetsplatsdatorer, styrsystem för vattenkraftverk, webbplatser och bloggar, fastigheters styrsystem till polisens oförmåga att hantera IT-relaterade brott.

DN:s rapportering om det sårbara digitala samhället visar att vi inte verkar ha lärt oss någonting om IT-säkerhet. Gamla misstag upprepas, igen och igen. 1989 skrev Clifford Stoll boken ”En hacker i systemet” (The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage).

DN:s rapportering om det sårbara digitala samhället visar att vi inte verkar ha lärt oss någonting om IT-säkerhet. Gamla misstag upprepas, igen och igen. 1989 skrev Clifford Stoll boken ”En hacker i systemet” från 1989 (The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage).

Fortsätt läsa

1 kommentar

Publicerad i IT-säkerhet, Säkerhetskultur, Säkerhetsledning, Säkerhetsskydd

ISO 27001 och rikets säkerhet

Kan ISO 27001 användas för informationssäkerhet för hemliga uppgifter (rikets säkerhet)? Jag tror det. Fördelarna borde överväga, men frågan är inte helt okomplicerad.

iso27001_sakerhetsskydd

Fortsätt läsa

3 kommentarer

Publicerad i Säkerhetsledning, Säkerhetsskydd

Amerikansk statlig säkerhetsledning i fritt fall

”Styrning av säkerheten vid det amerikanska försvarsdepartementet är osammanhängande, inkonsekvent, överlappande, fragmentarisk och okoordinerad”, så kan en rapport från dess generalinspektionen sammanfattas. En annan aktuell rapport om IT-säkerhet vid det amerikanska utrikesdepartementet visar på svåra missförhållanden.

dod_state_infosec_reports

Fortsätt läsa

3 kommentarer

Publicerad i Säkerhetsledning