De flesta säkerhetsavdelningar har välkomnat ISO 27001, den revolutionerande standarden för informationssäkerhet. Trots det använder inte alla objektiva beslutsunderlag som grund för riskanalyserna.
ISO 27001 har höjts upp till skyarna som lösningen på nästan alla problem. Med rätta, påstår många – inte minst säkerhets- och IT-avdelningarna. ISO 27001 handlar till största del om att företaget ska implementera ett information security management system, ett ISMS, för att skydda bolaget mot interna och externa hot.
Ni som har certifierat er har förbundit er till att ha koll på läget. Det kräver ett löpande upprätthållande av en hög säkerhetsnivå och riskhantering, vilket kräver sina processer. Genom att tydliggöra er policy för bakgrundskontroller når ni en bra bit på vägen.
En objektiv riskanalys
De som oftast kommer i kontakt med er affärskritiska information är era medarbetare. Ett enkelt sätt att försäkra er om att ni uppfyller säkerhetskravet för interna risker är att göra kontinuerliga bakgrundskontroller på befintligt anställda och parallellt granska samtliga kandidater samt konsulter. Innan de släpps in i era system.
Glöm inte heller bort leverantörer, samarbetspartners och andra intressenter som verkar runt verksamheten. Er interna riskanalys bör, till skillnad från analyser av externa hot, fokuseras kring att identifiera personer som kan innebära en risk. Utan bakgrundskontroller som ett moment inom analysen kan den tendera att bli tämligen subjektiv. Se till att ha tillräckligt på fötterna innan en individ stämplas som riskabel.
Kontinuerlig kommunikation
Du som varit med förr under en ISO-certifiering vet att implementationsprocessen kan vara en arbetsam historia. Det är inte mer än mänskligt att vilja vända blad och gå vidare till nya projekt, när certifieringen äntligen sitter på plats. Men som alltid finns djävulen i detaljerna – och med några enkla, men tydliga, rutiner kan ni säkerställa att standarden efterlevs väl.
Nyckeln är, som med så mycket annat, god kommunikation. Kommunicera löpande med medarbetarna från flera nivåer – via ledningsgrupp, intranät och mellanchefer. Om de inte vet vilka riktlinjer som ska följas blir er certifiering bara ett diplom på väggen, som kanske inte hänger kvar särskilt länge. Att kontinuerligt påminna och tipsa är mer framgångsrikt än att dränka medarbetarna i för mycket dokumentation. Utbilda stegvis, med fokus på enkelhet och håll trösklarna för inlärning och regelefterlevnad låga.