En vanlig bakomliggande orsak till att information kommer i orätta händer är undermålig eller obefintlig klassificering av information. Men varför är det så?
Den viktigaste orsaken är att klassificering av information är svårt och komplicerat. En av de stegen som kräver absolut mest energi är att sätta upp rutin och process för hur information ens ska klassificeras. Visst, det finns ett antal mer eller mindre officiella klassificeringsmodeller som kan användas. Men den modell man avser implementera ska accepteras och förstås av alla medarbetare i organisationen.
Ta till exempel klassificeringen ”Hemlig”. Där är namnet på klassificeringen tydligt; informationen får bara hanteras och ses av de som verkligen berörs.
Fundera sedan på klassificeringen ”Konfidentiell”. Vad innebär den? Vilka ska ha tillgång till den..?
Så gott som alla organisationer har information som ska klassificeras i högsta och näst högsta klassificeringen (oavsett modell) – alltså information som kanske bara får hanteras av högsta ledningen och information som bara får hanteras internt inom organisationen av dess medarbetare.
Hur ska då information klassificeras som egentligen är intern och företagshemlig men som trots det måste delas med externa intressenter? Två exempel är lösningsdesign och offerter – de är till sin natur företagshemligheter som man inte vill att en konkurrent ska få tillgång till. Men kunden måste få tillgång till materialet för att ens kunna fatta ett beslut.
Det är exempel som detta som gör det knepigt att ta fram en modell för klassificering. Trots allt är det viktigaste att alla i organisationen ska förstå modellen, veta hur information ska klassificeras samt inte minst förstå vad man får och inte får göra med information som klassificerats på ett visst sätt.
Här behövs oftast stor erfarenhet inom informationssäkerhetsområdet och klassificering kombinerat med kunskap om organisationen och verksamheten för att förstå hur en klassificeringsmodell ska se ut.
