VECKANS FRÅGA
Hur gör man en hotbildsanalys?
Begreppet ”hotbild” syftar på summan av alla hot som ett företag utsätts eller kan utsättas för. Det huvudsakliga syftet med en hotbildsanalys är att identifiera eventuella hot och utifrån denna vidta åtgärder för att minimera, förebygga, hindra eller utreda redan befintliga säkerhetshot mot den bedrivna verksamheten. Det finns flera användningsområden för en hotbildsanalys. Det främsta syftet med en hotbildsanalys är att den ska fungera som underlag vid företagets planering av informationssäkerhetsarbetet. Hotbildsanalysen kan även användas som grund till företagets affärsplanering då den visar vilka hot som finns. Företagets resurser kan med stöd av en hotbildsanalys användas på ett mer ekonomiskt och effektivt sätt.
En hotbildsanalys utgår från företagets verksamhet och görs i tre etapper: informationsinsamling, sammanställning och avslutningsvis identifiering.
Vid informationssamlingen är det enklast att dela upp företagets verksamhet i delar och för varje område identifiera vilka risker och hot som finns. Riskerna kan sedan sammanställas och kategoriseras i grupper, t.ex. finansiell, strategisk, juridisk eller operativ. När man sedan identifierar hoten görs detta efter en bedömning efter hur allvarligt varje hot är. Faktorer som övervägs i bedömningen är hur stor sannolikhet det är att hotet förverkligas, vilka kostnader olika hot kan medföra, vilka och hur stora konsekvenser ett förverkligande kan tänkas innebära m.m. Resultatet av analysen används sedan för att planera och besluta om vilka åtgärder som ska tas för att minimera hotbilden mot företaget.
Ta gärna del av vår checklista hotbildsanalys och hotbildsanalys när du ska se över företagets informationssäkerhetsarbete.
VECKANS NYHET
1177-skandalen och GDPR – har du skyddat företagets information?
Den uppmärksammade 1177-skandalen har undgått få. Miljontals filer med känslig information har funnits allmänt tillgängliga på Internet. Detta reser många frågor, bland annat om integritetsskydd och IT-säkerhet. Hur långt har du kommit i ditt informationssäkerhetsarbete?
VECKANS KRÖNIKA
Haveriet på 1177 - hur kunde det hända? – den svagaste länken i kedjan kan vara du!
Om man i sin organisation hanterar personuppgifter har man en skyldighet att upprätthålla tillräckliga tekniska och organisatoriska skyddsåtgärder. Detta ansvar kan man inte avtala bort eller på annat sätt undvika att göra, oberoende av organisationens storlek.
