Detta är en argumenterande text med avsikt att påverka. Åsikterna som förmedlas här är skribenten/skribenternas egna.

Den 30 juni förra året trädde nya EU-riktlinjer avseende cybersäkerhet för finansinstitut i kraft. Dessa nya krav ska bland annat säkerställa att finansinstitut kan identifiera och hantera de säkerhetsrisker som finns i verksamheten. Riktlinjerna för finansinstitut gäller aktörer som betaltjänstleverantörer, kreditinstitut och värdepappersföretag. 

Det är av stor vikt att den interna styrningen är på plats, samt att det finns ett tydligt kontrollramverk för risker inom säkerhet och informations- och kommunikationsteknik (IKT). Ansvarsområden och roller för att hantera bland annat IKT-funktioner och informationssäkerhet måste också fastställas. Det handlar även om att det ska finnas tillräckligt med resurser för att kunna möta de krav som ställs på verksamheten – bland annat måste personal utbildas om risker inom IKT och säkerhet. Personalstyrkan måste kunna möta de krav som nu ställs på organisationen i mån av IKT och säkerhet. Det måste också finnas en tillräcklig, tilldelad budget för att kunna möta de nya krav som ställs på verksamheten.

Identifiera och hantera risker

Att kunna identifiera och hantera de IKT- och säkerhetsrisker som finns för verksamheten är avgörande. När alla IKT- och säkerhetsrisker har bedömts måste det bestämmas hur de ska åtgärdas för att bli så låga som möjligt – alltså blir ett viktigt steg att minimera de identifierade riskerna.

För att kunna identifiera viktiga risker kan man göra en säkerhetsskyddsanalys – en sådan analys bygger en bra grund när man börjar med säkerhetsskyddsarbete. Genom att ställa dig följande frågor får du fram det som krävs:

• Vad är målet med verksamheten?
• Vilka är verksamhetens skyddsvärden?
• Vilka konsekvenser kan uppstå?
• Vad är hotet?
• Vilka sårbarheter finns?
• Vilka skyddsåtgärder ska väljas?
• Gör en informationssäkerhetspolicy

För att säkra verksamhetens informationssäkerhet måste en informationssäkerhetspolicy skapas där regler och principer ska definieras gällande information om finansinstitutet och dess kunder. 

Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas.

Informationssäkerhet gäller såväl hos enskilda personer som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället. 

Bristande informationssäkerhet kan få konsekvenser i form av att verksamheten inte kan bedrivas på ett ändamålsenligt och effektivt sätt, bristande skydd för den personliga integriteten samt störningar i samhällsviktig verksamhet. Därför är det så viktigt att ha en bra policy! 

Björn Mogren
Advenica

Bakgrundsinformation:

EU-riktlinjerna avseende cybersäkerhet för finansinstitut finns här: https://eba.europa.eu/sites/default/documents/files/document_library/Publications/Guidelines/2020/GLs%20on%20ICT%20and%20security%20risk%20management/Updated%20Translations/880828/Final%20draft%20Guidelines%20on%20ICT%20and%20security%20risk%20management_COR_SV.pdf

Mer information om hur man gör en säkerhetsskyddsanalys: https://www.advenica.com/sv/hur-gor-man-en-sakerhetsskyddsanalys 

Advenicas guide för att börja arbeta med informationssäkerhet: https://www.advenica.com/sites/default/files/2020-11/advenica_information-security_eight_advice%5B1%5D_0.pdf