Föreställ dig att din organisation drabbas av ett avbrott i molninfrastrukturen. Ingen tillgång till e-post, affärssystem eller kunddata. Supportteamet har ingen aning om vilka leverantörer som är ansvariga och ledningen står handfallen. Nästa dag kommer en förfrågan från svenska dataskyddsmyndigheten – hur hanterar ni datasäkerhet utan kontroll över era IKT-tjänster?
Situationen är tyvärr inte orealistisk. Därför är det viktigt att veta vilka IKT-tjänster din organisation använder och hur de är kopplade till verksamhet, compliance och riskhantering.
Vad är IKT-tjänster?
Informations- och kommunikationsteknik (IKT) omfattar alla tekniska lösningar och tjänster som möjliggör digital kommunikation och informationsbehandling.
Begreppet innefattar bland annat:
- Hardware: servrar, datorer, mobila enheter
- Software: applikationer, databaser och operativsystem
- Nätverk: internetanslutningar, brandväggar, VPN, routrar
- Cloudlösningar: Microsoft 365, AWS, Google Cloud
- Telekommunikation: telefoni, videokonferenser, VoIP
IKT-tjänsterna är med andra ord grunden för den digitala verksamheten, och ett fel eller en störning kan få allvarliga konsekvenser.
Varför är det viktigt att ha koll på sina IKT-tjänster?
Att få grepp om organisationens IKT-tjänster är avgörande för att kunna fatta bra beslut. När man vet vilka system och tjänster som används kan man identifiera svaga länkar i den digitala infrastrukturen och stärka riskhanteringen. Det är också en förutsättning för att uppfylla compliance-krav, till exempel dokumentation av personuppgiftsbiträden och GDPR-efterlevnad, och översikten gör det också möjligt att prioritera investeringar där de gör störst skillnad, till exempel när det gäller cybersäkerhet eller systemrobusthet.
Utan kunskap om IKT-tjänster är det svårt att identifiera vilka system som är affärskritiska, dokumentera tillsynsskyldigheter till myndigheter och reagera i tid om störningar eller säkerhetsöverträdelser inträffar.
Lagstiftning ställer nya krav
Under de senaste åren har lagstiftningen utvecklats avsevärt med ett ökat fokus på cybersäkerhet och tillförlitlighet, vilket har en direkt inverkan på hur organisationer ska hantera sina IKT-tjänster. Två viktiga regelverk är DORA och NIS2, som båda ställer högre krav på översikt, riskbedömning och ledningens medverkan.
DORA-förordningen riktar sig till finanssektorn och kräver att företag dokumenterar alla sina IKT-tjänster, testar sin digitala motståndskraft och har beredskapsplaner på plats om incidenter skulle inträffa. Det räcker inte att veta vilka system man använder, man måste också kunna bevisa hur de hanteras och säkras.
NIS2-direktivet omfattar ett bredare spektrum av både offentliga och privata organisationer och betonar riskbaserad cybersäkerhet, snabb incidentrapportering och stärkt governance. För båda förordningarna gäller att ledningen spelar en aktiv roll för att integrera IKT och cybersäkerhet i den övergripande styrningen.
Gemensamt för både DORA och NIS2 är att de kräver att organisationer ska ha en överblick över sina IKT-tjänster. Utan en sådan överblick blir det omöjligt att uppfylla kraven och svårt att dokumentera compliance när myndigheterna knackar på dörren.
LÄS OCKSÅ: Säkerhet i leveranskedjan: Kom igång med Third Party Risk Management
Hur kartlägger och klassificerar du dina IKT-tjänster?
Kartläggning av IKT-tjänster är en strukturerad övning som går ut på att förstå hur varje teknik stöder verksamheten, var sårbarheterna finns och hur de bör prioriteras.
Ett systematiskt tillvägagångssätt för IKT-kartläggning bör omfatta följande:
1) Identifiering av IKT-tjänster
Gör en omfattande lista över all relevant programvara, hårdvara, nätverk och externa leverantörer.
2) Klassificering av risker
Vilka tjänster är affärskritiska? Vilka behandlar personuppgifter? Var är det operativa beroendet som störst?
3) Riskbedömning
Bedöm sannolikheten för och konsekvensen av ett fel. Använd en skala från låg till hög och visualisera den i en riskmatris.
4) Dokumentation och ansvar
Vem har äganderätten till varje tjänst? Var finns avtal och personuppgiftsbiträdesavtal? Hur ofta ska det granskas?
