Att jobba med informationssäkerhet
Informationen som din verksamhet äger och förvaltar har olika värde. Informationssäkerhet handlar om att anpassa skyddet efter värdet på informationen oavsett om den hanteras på papper eller digitalt.
Det som avgör hur viktig informationen är för verksamheten är de interna och externa kraven. Det vill säga
- vilka lagar och föreskrifter som gäller
- vad som skrivits och regleras i de avtal som tecknats
- verksamhetens riktlinjer och policy.
Det är den högsta chefen som är juridiskt ansvarig för informationen. Det är den person som bär ansvar för att informationen hanteras på rätt sätt utifrån de lagar, föreskrifter och avtal som gäller för just den verksamheten. Det är ett ansvar som inte kan delegeras till någon annan så att säkerställa rätt hantering och skydd är viktigt.
Hur gör man?
Här listas sex steg som är viktiga att följa när en verksamhet ska jobba med informationssäkerhet. De flesta aktiviteter kan gärna genomföras som workshops där följande funktioner kan delta:
- några från ledningsgruppen
- användare av berörda IT-system/informationstyp
- någon som leder och dokumenterar mötet.
Se till att alla i gruppen känner sig inkluderade och fria till att bidra med sina egna tankar och tips.
1. Inventera
Första steget är att få en bild över vilken information ni äger och/eller förvaltar. Gör en informationsinventering för att ta reda på vilken information som är viktig inom en verksamhet.
Aktiviteten kan göras som en workshop. Om det är en liten verksamhet bör minst en från varje funktion/ansvarsområde ingå. Vid en större verksamhet är det bättre att utse en person som ska ansvara för att inventera informationen och sedan sammanställa den till ledningsgruppen.
Oftast finns det mesta i IT-system. Beskriv syftet med IT-systemet och vilken information det innehåller, till exempel personuppgifter, patientdata och personalakter.
Inventeringsdokumentet ska fortsätta förvaltas då information eller IT-system avvecklas och nya tillkommer. Se därför till att ta fram en process för att hålla listan aktuell. Att inventeringen görs efter ditt verksamhetsbehov är till stor hjälp när informationen sedan ska värderas.
Mallen kan behöva anpassas efter den egna verksamhetens krav.
2. Klassificera
Varje informationstyp/mängd ska nu värderas, det vill säga klassificeras. Värdet bestäms utifrån hur viktig informationen är för verksamheten.
Klassificeringen ger ett facit på vad det bör läggas resurser på att skydda och hur beroende verksamheten är av viss information. Att klassificera informationen går att göra på två sätt:
- Efter IT-system (databas eller applikation, till exempel personalsystem)
- Efter informationstyp (till exempel personuppgifter).
Klassificeringen sker sedan huvudsakligen utifrån tre säkerhetsaspekter:
- Konfidentialitet
- Riktighet
- Tillgänglighet
Konfidentialitet
Viktig informationen måste skyddas från obehöriga. Exempel på information som har hög konfidentialitet är patientdata, skyddade personuppgifter eller del av personalakten som innehåller rehabiliteringsplan.Om obehöriga skulle komma åt konfidentiell information kan det leda till skada för individen, till exempel kränkning eller orsaka lidande. Det kan även skada förtroendet för verksamheten vilket kan leda till ekonomiska påföljder.
All information har inte lika hög konfidentialitet. Några exempel är den information vi vill sprida såsom innehåll på hemsidan eller i nyhetsbrev.
Riktighet
Viss information får inte förvanskas eller innehålla felaktigheter. Den information som används för att fatta beslut måste vara pålitlig. En läkare förlitar sig på labbsvar, en beslutsfattare på utredningar och statistik. Beslut som tas utifrån felaktig information kan orsaka skada för individen/patienten. Det kan även skada förtroendet för verksamheten vilket kan resultera i ekonomiska påföljder och problem att fullgöra sitt uppdrag. Publik information på hemsidan, som inte är konfidentiell, har högre klass när det gäller riktighet då fel information kan skada varumärket.
Tillgänglighet
Informationen ska vara tillgänglig när den behövs. All information behöver nödvändigtvis inte vara tillgänglig dygnet runt. Här handlar det om att identifiera information som måste vara tillgänglig för att verksamheten ska kunna fullfölja sitt uppdrag. Diskutera gärna hur länge ni klarar er om till exempel journalsystemet inte är tillgängligt. Hur länge klarar ni ett driftstopp?
Val av klassificeringsmodell
Det är viktigt att välja en klassificeringsmodell som passar den egna verksamhetens behov. På nätet finns det flera olika modeller. Skalan ska helst inte vara tre- eller femgradig för då riskerar allt att graderas i mitten. Klassificeringen ska väcka dialog kring känsligheten av informationen.
Instruktion till ägare av it-system och informationssäkerhetssamordnare inom verksamheten. Beskriver hur man bedömer och klassificerar en informationstillgång såsom ett it-system.
3. Riskanalys
När värdet på informationen klassificerats blir det lättare att prata risker och sårbarheter. Den aktiviteten kan göras vid en workshop. Avgörande för att resultatet/underlaget ska bli bra är att alla får chansen att bidra med de risker de kommer på. Gruppen bör bestå av samma personer som klassificerade informationen samt några som som är ansvariga för, eller kunniga om, IT-driften. Här gäller det att alla tänker hur de hanterar informationen i sin vardag och vilka risker de ser med den hanteringen.
För att underlätta utformandet av rätt skydd är det viktigt att beskriva hur risken skulle kunna orsaka eventuella lidande/skador för individen/verksamheten. Släpp fantasin fri!
Risker skulle kunna vara:
- Kan vi drabbas av inbrott?
- Kan någon stjäla lösenordet och logga in?
- Kan någon ändra/förvanska informationen?
- Kan praktikanter på HR hitta nyckeln till arkivlådan och läsa personalakter med rehabiliteringsplaner?
- Kan vi få ett mejl med en länk som gör att när någon klickar på länken så krypteras hela databasen och ingen kommer åt informationen?
Om det finns risk att det inträffar beskriv hur det skulle påverka verksamheten.
Fundera på alla hot mot säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet. Tänk på att stress kan orsaka att någon gör fel, men även att bedragare utnyttjar våra empatiska sidor och på så sätt kommer åt informationen.
Analysera sedan de risker ni kommit på utifrån hur sannolikt det är att de inträffar och hur stora konsekvenserna skulle bli. Det är väldigt nyttigt att diskutera kring varje hot och risk som identifierats då det ger en uppfattning om hur skyddet bör utformas. Dokumentera riskanalysen då den är ett viktigt underlag till beslutsfattare (ledningsgruppen) när de ska fatta beslut om skyddsåtgärder.
Val av riskanalysmodell
Det är viktigt att välja en riskanalysmodell som passar den egna verksamhetens behov. På nätet finns det flera olika modeller. Skalan ska helst inte vara tre- eller femgradig för då riskerar allt att graderas i mitten. Analysen ska få er att diskutera vilka hot och risker som måste minimeras.
Beskrivning av ett arbetssätt för hur informationssäkerhetsrisker kan bedömas och hur riskreducerande åtgärder kan hanteras.
4. Åtgärd av risker
Riskanalysen används som underlag för beslut om rätt skyddsåtgärder. Riskägaren är alltid den som har det juridiska ansvaret för informationen. Analys av hur starkt skyddet för informationen bör vara baseras även på de interna och externa krav verksamheten ska uppfylla för att fullgöra sitt uppdrag. Exempel på externt krav är dataskyddförordningen/GDPR som 2018 ersatte personuppgiftslagen (PUL) vilken ställer högre krav på skyddet av personuppgifter. Ett annat exempel kan vara hälso- och sjukvårdslagen som reglerar hur patientdata ska hanteras. Interna krav handlar om verksamhetens egna policy och riktlinjer.
Riskerna elimineras med hjälp av administrativa och tekniska säkerhetsåtgärder.
Administrativa säkerhetsåtgärder
Policy, riktlinjer, instruktioner och manuella rutiner är exempel på administrativa säkerhetsåtgärder. Fundera på vilka riktlinjer ni saknar för anställda vad gäller hantering av verksamhetens information. Vad gäller för dem som är på tjänsteresa eller arbetar hemifrån vid inloggning till er IT-miljö? Är det okej att skriva ned lösenordet på en post-it och klistra fast den på skärmen?
Tekniska säkerhetsåtgärder
Tekniska säkerhetsåtgärder är de lösningar som finns för att skydda informationen, till exempel kryptering, backup eller tvåfaktorinloggning. Nuförtiden ligger det mesta av vår information på servrar, databaser, diskar eller i molntjänster. Den skyddsvärda informationen ska garanteras rätt skydd även när den flödar mellan olika system. Här bör en IT-säkerhetskunnig person rådfrågas. Går det att eliminera eller minimera några av de identifierade riskerna i riskanalysen med hjälp av tekniken? Till exempel genom spårbarhet med hjälp av loggning och återställning av backup vid diskkrasch eller virus.
Alla risker som åtgärdas ska dokumenteras och de kvarvarande riskerna behöver aktivt hanteras av riskägaren/informationsägaren. Man kan till exempel välja att acceptera, åtgärda eller helt undvika en risk. Riskanalys behöver göras vid alla större förändringar som kan utgöra ett hot mot konfidentialitet, riktigheten och tillgängligheten. En del av riskerna bedöms kanske inte som stora, men det kan vara bra att ta upp dem igen när nästa riskanalys genomförs. Nyttigt är att följa upp om riskerna återkommer och om sannolikheten och konsekvensen bedöms lika.
En dokumentation över riskåtgärder bör innehålla:
- datum
- vilka som deltog
- vilka risker som identifierats
- bedömning över sannolikheten och konsekvensen
- om risken åtgärdats och hur.
5. Åtgärda
De risker ni bedömt som mest kritiska behöver tas omhand. Det underlättar om ni kategoriserar riskerna i två delar:
- Risker som kan åtgärdas med interna rutiner och metoder inom verksamheten, för exempel se punkt 4.
- Risker som kan åtgärdas med tekniska säkerhetsåtgärder, för exempel se punkt 4
Då blir det lättare för er att veta vilka som ska ansvara för vilka delar samt vilka personer som behöver involveras.
6. Följa upp och revidera
Hur går det med de åtgärderna som ni beslutat om att införa? Vad blev bra? Vad kunde vi ha gjort bättre? Glöm inte att följa upp för att säkerställa att ni beslutat om rätt åtgärder!
Minst en gång per år ska den stora uppföljningen ske för att inte missa om någon ny lag/några nya krav/ nya risker tillkommit sedan sist. Här är dokumentationen till stor nytta för att påminna om hur tänkte ni då, vilka lagar som gällde, vilka risker ni identifierade och hur ni skulle åtgärda dem. Gå igenom alla steg igen och dokumentera alltid!
Kom ihåg att utbilda
Att kontinuerligt informera och utbilda om informationssäkerhet inom en verksamhet håller liv vid processer, rutiner och arbetssätt. Verksamhetsansvarig som lyckas hålla detta ämne levande, och som ständigt uppmuntrar till dialog kring frågorna, bidrar inte bara till att hålla informationen säker, riktig och uppdaterad. Den ser även till att risker identifieras, att patient- och personalakter inte hamnar i fel händer och att verksamhetens förtroende och goda rykte inte skadas.
Mer information
Beskrivning av hur Region Stockholm ska arbeta, både regionövergripande och i nämnder var för sig, för att åstadkomma ett robust skydd av verksamheten i enlighet med regionfullmäktiges vision och inriktningsmål.
Riktlinjer som riktar sig till nämnder och bolag i Region Stockholm och som beskriver hur man tillämpar och efterlever uppställda riktlinjer för informationssäkerhet inom Region Stockholm.
Vägledning till nämnder, bolag och andra som arbetar på uppdrag av Region Stockholm och ger förklaringar till hur uppställda riktlinjer för informationssäkerhet inom Region Stockholm ska tolkas.
För vårdgivare med hälso- och sjukvårdsuppdrag åt Region Stockholm.