Lås på dörren?

Mattias Sjödin Informationssäkerhet

En ganska vanlig fundering inom informationssäkerhet är vad det egentligen handlar om, för mig blir det ofa en fråga om att hitta en historia att jämföra med.

Informationssäkerhet handlar i grund och botten om att skydda information – det hörs liksom lite på namnet, men det är inte riktigt så enkelt utan det är en helhet som ska knytas ihop och som ska landa i att du som hanterar informationssäkerhet ska ha kunskap om vad, varför och hur kring informationen som ska skyddas.

Lek med tanken att du har till uppgift att skaffa ett lås till en ytterdörr – det är vad du vet om din uppgift och ger dig iväg till ett välsorterat byggvaruhus och stegar glatt iväg till låsavdelningen. När du nu börjar botanisera bland produkterna inser du att du inte har en chans att välja rätt lås utifrån det du visste när du åtog dig uppdraget.

För det första – låshusen (eller låskistorna) finns i flera olika varianter och nivåer. Det enklaste låshuset kan du få för gott och väl under en femhundring, men du hittar också modeller som närmar sig ett par tusen. Du misstänker dessutom att låsen inte passar hur som helst till dörrkarmens slutbleck. Som grädde på moset upptäcker du dessutom att det finns elektroniska lås som kan låsas upp med en nyckelbricka eller en kod.

För det andra – låscylindrarna finns även dem i många varianter från några hundralappar per styck ända upp till nästan femtonhundra för ett par runda.

Det du kan göra i det här läget att antingen köpa på vinst och förlust eller ge upp för nu. Om du trots allt handlar nu och fungerar som många andra kommer du välja någonting mittemellan (vi lever trots allt i landet mellanmjölk) och hoppas på det bästa.

Mitt råd är solkart: Bege dig iväg igen och gör din läxa! Du behöver känna till åtminstone detta för att kunna välja rätt lås:

  • Vad är det som låset förväntas skydda? Är det ytterdörren till själva huset/lägenheten, till garagedörren, cykelskjulet eller till boden där du förvarar gräsklipparen?
  • Vad blir konsekvensen om du skaffar ett för klent lås och någon bryter upp dörren på grund av det? Kan tjuven obehindrat stjäla familjeklenoder, smycken, datorer med mera eller handlar det mer om den där stackars gamla cykeln som på sin höjd är värd en femhundring? Finns det andra konsekvenser, så som olustkänsla om någon tagit sig in?
  • Vad är det för dörr som låset ska monteras i? En modern ytterdörr med andra inbrottsskydd inbyggda i karmen och ett modernt slutbleck? Eller är det en äldre mer simpel dörr där ett svindyrt hakregellås i praktiken blir det enda som faktiskt står emot ett inbrottsförsök?
  • Finns det någon annan som ställer krav på låset – till exempel ditt försäkringsbolag? I så fall, finns det någon klassning som måste uppfyllas?
  • Vem ska använda låset, och hur? Är det en slarver som ska använda det som kan tänkas tappa bort sin nyckel? Är det någon som inte förstår sig på teknik alls, eller raka motsatsen?

Det finns fler frågor också, men det borde ge en bild av det komplexa – och detsamma gäller informationssäkerhet. Att jämföra informationssäkerhetsarbete med lås till ytterdörr är naturligtvis lika orimligt som rimligt. Det är helt olika situationer, men frågorna i exemplet kan absolut kopplas till frågor du behöver ställa i ett strukturerat arbete med informationssäkerhet. Du måste känna till alla informationstillgångar, hur mycket tillgångarna är värdautifrån informationssäkerhetsperspektiven, vilka intressenter som ställer vilka krav och som påverkar och kan påverkas, vilka risker du ser om någonting händer med informationen och så vidare innan du ens kan börja fundera på hur informationstillgångarna ska skyddas.

Såvida du nu inte är väldigt kunnig inom dörrar, lås och säkerhet så kommer du inte att komma i mål med uppgiften ovan – det är för mycket att tänka på och som kan gå fel – det du gör är troligen att ta hjälp av en låssmed. Kanske med hela installationen, men åtminstone så tar du bilder av din dörr, karm och slutbleck och åker till en riktig låsfirma och diskuterar vad det är du behöver ha. Låsfirman förstår det komplexa och kommer att ställa rätt frågor så du får vad du behöver ha. Är du inte tillräckligt händig och vet hur man monterar lås får du också hjälp med installationen.

Detsamma kan naturligtvis i allra högsta grad gälla strukturerat informationssäkerhetsarbete, att få en helhet och att knyta ihop säcken på ett bra sätt är komplicerat. Det finns inga färdiga standardmallar varken i fråga om lås till ytterdörren eller i fråga om informationssäkerhet. Din information är unik, dina krav och andra förutsättningar är lika unika. Alltså behöver du ett unikt system för att hantera din informationssäkerhet, men det finns god hjälp att få för att komma tillrätta med arbetet.

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.