Viewing entries tagged
säkerhet

Prio eller inte prio?

Comment

Prio eller inte prio?

Digitalisering, Cloud, SaaS och arbete hemifrån. Modeorden är många och trenderna duggar tätt i verksamheter och organisationer idag. 

Att lyckas anamma trender och samtidigt bibehålla säkerhet utan att begränsa användarna i en ny kontext är en utmaning i sig. Medarbetare är mer rörliga och i vissa fall mer utanför kontoret än innanför. Verksamheten vill ofta även börja konsumera nya tjänster snabbt och smidigt, helst utan implementationstid.  

Detta skapar en rad utmaningar för en IT-organisation och en svår kalkyl att uppnå utan oändliga resurser och budget. Många gånger kan en IT-organisation då uppfattas som trög eller flaskhals, som står i vägen för verksamhetens behov. 

  • Vad skall man prioritera? 

  • Hur skall man förhålla sig till det? 

Det går tyvärr inte att tillgodose alla användares behov samtidigt. IT behöver vara ett konkurrenskraftigt medel utifrån kärnverksamheten. För att uppnå detta så behöver organisationen ge IT mandat och medel för att kunna uppnå nytta. 

Att IT ej skall ses som en kostnad är nog de flesta överens om numer, men ändå upplevs IT-avd. många gånger stå i vägen för utvecklingen. Detta resulterar i en del fall att verksamheten själva ger sig ut på stan och konsumerar tjänster som blir okontrollerade. IT-avd. kan ibland upplevas som att de endast investerar i den senaste infrastrukturen som har “ny häftig teknik”. 

IT-avdelningens roll behöver utvecklas och vidare integreras i ett nära samarbete med verksamheten. Där man går hand i hand utifrån dagens förutsättningar, säkerhetsaspekter och övergripande strategi. När man väl lyckats med detta så ökar förståelsen från både verksamhet och IT där man tillsammans kan komma fram och planera utvecklingen. 

Tre matnyttiga råd: 

  • Integrera och förankra IT i verksamheten 

  • Gör prioriteringar utifrån verksamhetsbehov 

  • Fokusera på en effektiv och lyckad implementation för användarna 

Comment

Skydda det som skyddas kan

Comment

Skydda det som skyddas kan

I en kontext där cyberhoten ökar och samhällskritiska verksamheter är potentiella måltavlor är det dags att skydda det som skyddas kan. Kan man bredda tillämpning av undantag vid IT-upphandling?  

Å ena sidan kan man argumentera för att undantag ska tillämpas restriktivt, å andra sidan kan man argumentera för att det är en skyldighet att tillämpa undantag trots att definitionerna i lagtexten inte överensstämmer 100%. Kanske bör det inte ses som en paradox utan istället en möjlighet för verksamheten?  

I en alltmer föränderlig värld, där behov och hotbild ständigt förändras kanske tolkningar kring vad som är synnerliga skäl, rikets väsentliga säkerhetsintressen (LUFS), Sveriges väsentliga intressen (LOU) etc. behöver ändras snabbare än lagstiftarna hinner med? 

Kunskap men framförallt rädslan att tillämpa undantag och bli kritiserad för detta beslut kan ibland ta överhand och bli styrande. Vilket beslut tar vi om vi endast utgår från verksamhetsbehovet?  

Att skydda förmåga och kapacitet i kontexten offentlig upphandling, offentlighetsprincipen, entreprenörer, konsulter och underleverantörer är en utmaning. 

Det gäller att täppa till alla hål, medans angriparen bara behöver hitta ett. 

Som i allt säkerhetsskyddsarbete handlar det om att lägga ett omfattande pussel. Finns det pusselbitar som kan skyddas på ett bättre sätt genom en mer frikostig tillämpning av undantag? 

Om ja, till bekostnad på vad? 

Comment