Inga produkter i varukorgen.
Har du koll på dina största säkerhetsrisker – innanför väggarna?
När vi pratar om hot mot verksamheten tänker många på yttre angrepp – cyberattacker, industrispionage eller fysiskt intrång. Men faktum är att några av de mest skadliga incidenterna ofta kommer inifrån organisationen. Just därför blir personalsäkerhet och hantering av insiderhotet avgörande byggstenar i en modern säkerhetsstrategi – inte minst för dig som VD. Caroline Malm är rådgivare på 2Secure och jobbar strategiskt med säkerhet på företag, myndigheter och organisationer. Hon menar att när världsläget förändras blir företagen lätt en måltavla för insiders och inte minst för främmande makt. Personalsäkerheten är grunden både för en robust organisation och en viktig del för resiliensen för vårt samhälle.
Personalsäkerhet – mer än en formalia
Enligt Säkerhetsskyddslagen ska personalsäkerhet säkerställa att personer med tillgång till känslig information är lojala och pålitliga. Det handlar om bakgrundskontroller, säkerhetsprövningar och återkommande utvärderingar – men också om att anställda faktiskt förstår säkerhetsrisker och agerar ansvarsfullt. Det är inte bara ett myndighetskrav. Det är god säkerhetskultur.
ISO 27000-serien lyfter personalsäkerhet som en nyckelfaktor i informationssäkerhetsarbetet – före, under och efter anställning. Det är ett område där HR, IT, informationshantering och säkerhet möts, med direkt påverkan på verksamhetens motståndskraft påpekar Caroline Malm, rådgivare på 2Secure.
Insiderhantering – hantera det osynliga hotet
Strukturerat arbete med insiderhotet är proaktivt. Det handlar om att identifiera, förebygga och hantera risken att någon med legitim åtkomst – anställd, konsult eller partner – oavsiktligt eller medvetet skadar organisationen. Det kan handla om informationsläckor, sabotage, bedrägerier, felhantering av data eller använder sin ställning till att fatta felaktiga beslut.
Här används avancerade tekniker som beteendeanalys (UEBA), loggövervakning (SIEM), åtkomstkontroller (PAM) och dataskydd (DLP) för att upptäcka avvikelser innan det är för sent. Men tekniken räcker inte – lika viktigt är tydliga riktlinjer, riskbedömningar och ett säkerhetsmedvetande bland medarbetarna fortsätter Caroline.
Fakta
Säkerhetsskyddet och ISO 27000
Säkerhetsskyddslagen (2018:585)
– Gäller verksamheter av betydelse för Sveriges säkerhet.
– Kräver säkerhetsprövning av personal innan deltagande i säkerhetskänslig verksamhet.
– Omfattar krav på sekretess, tillgänglighet och integritet.
ISO/IEC 27001 och 27002
– Internationella standarder för informationssäkerhet.
– Reglerar hur företag systematiskt ska arbeta med riskhantering, incidenthantering och personalsäkerhet.
– Personalsäkerhet omfattar hela anställningscykeln: innan, under och efter anställning.
ISO 22340:2024
– Internationella standard för säkerhetsskydd. Här sammanförs alla säkerhetsdomäner för en enhetlig hantering av säkerhetsfrågor inom ledning och styrning av säkerhet, personalsäkerhet, informationssäkerhet, Cyber- och IT-säkerhet samt fysisk säkerhet. Det är en förutsättning särskilt för hantera den komplexa insiderproblematiken.
VD:ns roll i säkerhetsarbetet
Som VD har du inte bara det yttersta ansvaret – du är också en nyckelperson i att skapa en säkerhetskultur där medvetenhet, transparens och riskhantering är en naturlig del av vardagen. Det handlar om att hantera säkerheten som helhet och involvera alla säkerhetsdomäner, vilket är en förutsättning särskilt för hantera den komplexa insiderproblematiken. Det behövs strategiska verktyg för att skydda affärsvärden, innovation och varumärke.
I en värld där hotbilden snabbt förändras, räcker det inte att bara skydda sig utifrån. Du behöver även blicka inåt säger Caroline. Det innebär också att löpande uppdatera sig om hur hotbilden ser ut och vad det är man behöver skydda sig mot. Allt arbete med säkerhet behöver både följa rådande regelverk och baseras på aktuell hotbild.
