Hur genomför man en IT-säkerhetsanalys? - Advitum

Hur genomför man en IT-säkerhetsanalys?

Publicerad 8 april 2022 i Nyheter av Markus Persson

Många företag och organisationer vi på Advitum kommer i kontakt med vet att de behöver få bättre koll på sin IT-säkerhet men har svårt att veta exakt hur det ska gå till och vart man ska börja. Syftet med denna korta guide är att förklara vilka olika alternativ som finns och hur man kommer igång. 

Mitt första råd är att ta del av MSBs (Myndigheten för samhällsskydd och Beredskap) sida för systematiskt informationssäkerhetsarbete på följande länk Systematiskt informationssäkerhetsarbete (msb.se) 

Där finns väldigt mycket information och är en opartisk källa till information som innehåller både rekommendationer och guider. Exempelvis följande 

Ledningens guide till informationssäkerhet Ledningens roll inom informationssäkerhet – ett stöd för dig med en ledande funktion (msb.se) 

Rekommenderade säkerhetsåtgärder Rekommenderade säkerhetsåtgärder (msb.se) 

Nästa fråga man behöver ställa sig är hur omfattande IT-säkerhetsanalysen behöver vara, det finns nämligen ett stort antal olika analyser man kan genomföra med olika omfattning i kostnad, tid och resultat. 

Har du redan nu olika krav såsom exempelvis certifieringskrav eller lagkrav (ex ISO 27001, NIS-direktivet, CIS v8) så är det så klart nödvändigt att matcha metoden för IT-säkerhetsanalys med den standard som ska efterlevas. 

Exempelvis ställs detaljerade krav på IT-säkerheten om man har som strategi att teckna en ”Cyberförsäkring”, alltså försäkring mot Cyberattacker, vilket i sin tur innebär att man behöver analysera IT-säkerheten baserat på de krav som ställs av försäkringsbolaget.

Om det inte föreligger några specifika krav på vilken standard eller metod som ska användas är vår rekommendation att börja med en förhållandevis enkel och övergripande analys där man på ett strategiskt plan identifierar vilken nivå man är på inom de olika områdena inom IT-säkerhet. En sådan analys brukar bestå av följande moment 

  • Datainsamling 
    • Automatisk insamling genom scanning 
    • Manuell insamling genom intervju med personal från verksamheten 
  • Rapportgenerering  
  • Genomgång av rapport med verksamheten 
    • Status på IT-säkerheten 
    • Identifierade risker 
    • Lista med åtgärder i prioriteringsordning baserad på risk (sannolikhet x kostnad) 
  • Genomgång av resultatet med ledningen (executive summary) där de största riskerna och motsvarande åtgärder redovisas 

Hoppas att denna guide var till hjälp, vill du veta mer , se gärna vår film om IT-säkerhetsanalyser som beskriver mer detaljer om hot samt hur ett exempel på IT-säkerhetsanalys genomförs.

Ta hjälp  

Advitum erbjuder råd, assistans eller utför hela IT-säkerhetsanalysen.

Kontakta oss så berättar vi mer! 

Markus Persson

070-250 0817

markus.persson@advitum.se

Tillbaka till nyheter

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.