Den ökade digitaliseringen i samhället där allt fler smarta prylar kopplas upp i nätverk och allt fler processer automatiseras gör att det blir allt viktigare för företag och organisationer att ha koll på sina it-risker.
- I vårt digitala samhälle måste företagen ha robusta och resistenta it-system som skyddar mot cyberhot och digitala intrång. Med hjälp av it-revision kan digitala risker identifieras och det blir tydligt vilka skyddsåtgärder som bör vidtas. Detta bidrar även till företagets hållbarhetsarbete, säger Ritva Malmqvist, certifierad it-revisor på Grant Thornton.
Många risker
Även om det inte finns generella krav för verksamheter att skydda sin it-miljö är riskerna stora om du låter bli, menar Grant Thorntons it-revisorer.
- Affärskritisk information kan bli förfalskad, krypterad eller gå förlorad. Bristande skydd ökar även riskerna för att drabbas av effekterna av riktade, eller slumpmässiga attacker, eller dataintrång vilket kan resultera i utpressning med krav om pengar eller företagshemlig information. Du riskerar även böter enligt GDPR om känsliga personuppgifter läcker ut och lyder ditt företag under Finansinspektionen riskerar du sanktioner eller att tillståndet att bedriva verksamhet dras in, säger Johan Sarasalo.
- Allt detta kan så klart orsaka mycket dålig publicitet och även ge allvarliga, kostsamma störningar på verksamheten, fortsätter han.
Ökar motståndskraften
Det finns alltså många fördelar med att kartlägga it-miljön och enligt Ritva Malmqvist kan en it-revision även ge positiva effekter på många andra områden i verksamheten, som till exempel hållbarhet.
- Genom att jobba systematiskt med informationssäkerhet, följa vedertagen branschpraxis och vidta korrekta skyddsåtgärder får du inte bara bättre koll på vilka åtgärder du behöver sätta in för att skydda digitala och affärskritiska tillgångar, du ökar även företagets motståndskraft för virusintrång. Att driva en verksamhet utan störningar ökar möjligheterna för kontinuitet och långsiktighet i verksamheten vilket är viktigt ur ett hållbarhetsperspektiv, säger Ritva Malmqvist.
En annan positiv effekt av att arbeta strukturerat med informationssäkerhet är att det ofta gör organisationen effektivare.
- Ordning och reda i it-systemen ökar möjligheten att arbeta strategiskt med att utveckla sin kärnverksamhet i stället för att släcka bränder relaterade till it, vilket i förlängningen ger högre lönsamhet, säger Johan Sarasalo.
Vanliga brister
Vad bör man då som företagare ha lite extra koll på – var finns oftast de svaga punkterna?
Brister upptäcks ofta i policys och styrdokument, samt i säkerheten kring användningen av e-post och mobila enheter. Även otillräckliga säkerhetsuppdateringar som ökar risken för intrång och attacker är vanliga.
Enligt experterna skulle många företag också tjäna på bättre informationsklassning och behörighetshantering.
- Det går att spara mycket pengar på att klassa information på rätt sätt. Det är vanligt att företagshemlig information inte skyddas tillräckligt, medan information som borde vara öppen låses in. Om behörighetskontrollerna skärptes skulle risken för exempelvis kapning och olika typer av attacker minska, säger Johan Sarasalo.
Granskning av it-leverantörer
Vid en it-revision är det även viktigt att granska all den dokumentation som ligger till grund för samarbeten med it-leverantörer.
- Ofta saknas underlag som reglerar ett sådant samarbete. Det kan få som konsekvens att it-leverantören inte följer företagets krav och rutiner. Inom hållbarhetsområdet kan det till exempel leda till att it-leverantören inte använder förnybar el, eller att denna samarbetar med länder som har sämre arbetsvillkor, trots att det går emot företagets policy, säger Jonas Kristensson, rådgivare inom IT-advisory.
Sammanfattningsvis ger det många positiva effekter att ha ordning och reda på it-systemen, samt en känsla av trygghet även inom andra områden som till exempel avseende hanteringen av personuppgifter.
- En it-revision gör det väldigt tydligt vilka risker som finns samt hur dessa kan hanteras för att marknadens krav ska efterlevas, säger Jonas Kristensson.
Fem värdefulla effekter med en it-revision
- Skyddar verksamhetens resurser och ger ökad trygghet.
- Ger tid över att fokusera på kärnverksamheten i stället för att släcka bränder.
- Ökar företagets motståndskraft mot intrång och attacker.
- Verifierar att uppgifter som lämnats i hållbarhetspolicyn har inhämtats korrekt.
- Säkerställer att underleverantörer arbetar utifrån din kravställning och styrdokument.
Så får du koll på it-risker i din organisation
- Följ vedertagen praxis, regelverk och ramverk som GDPR och ISO 27001.
- Jobba systematiskt med informationssäkerhet genom att gå igenom system, processer, policys och avtal med it-leverantörer.
- Vidta korrekta skyddsåtgärder för att bli mer hållbar på sikt.
- Se över medarbetarnas behörighet i it-system och hur du har klassat din information.
- Ta hjälp av en oberoende tredjepart som ser saker ur ett annat perspektiv.
Inga generella lagkrav
I Sverige finns inget generellt krav för verksamheter gällande informationssäkerhet. Det finns dock lagar och regler för vissa branscher. Bank-och finanssektorn måste följa Finansinspektionens regler gällande informations- och cybersäkerhet och leverantörer av samhällsviktiga tjänster och vissa digitala tjänster måste följa reglerna i NIS -direktivet*.
Därutöver gäller Dataskyddsförordningen (GDPR) alla företag som hanterar personuppgifter. Förutom dessa lagar och regler finns också rekommendationer och standarder som till exempel ramverket ISO 27000 och certifiering mot ISO 27001**.
- I vår granskning av företagen utgår vi alltid från hur väl de efterlever dessa regulatoriska krav, standarder och ramverk. Jag har aldrig varit med om att vi inte upptäckt it-relaterade risker vid en it-revision, säger Ritva Malmqvist.
*NIS-direktivet, The Directive on security of network and information systems, trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor. Lagen omfattar till exempel banker, hälso- och sjukvårdsföretag samt digital infrastruktur, energi och transportbolag.
** Standarden ISO 27001 är ett ledningssystem för Informationssäkerhet (även kallat ISMS, Information Security Management System).
