Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...

More documents

Recommendations

Info

Bild 22. Behov av kompetenshöjning På vilket/vilka områden skulle du önska dig att du själv och organisationen* får bättre kunskap? Kompetenshöjande åtgärder som respondenterna efterlyser: 1. Bättre teknisk kunskap om IT-lösningar (olika områden) 33 5 2. Ökad kunskap om hur man kommunicerar/förmedlar IT-säkerhet i organisationen 19 – 3. Ökad kunskap om (nya) produkter/tjänster på området IT-säkerhet 4. Generell kunskapsökning inom IT/IT-säkerhet (ospecificerat) 5. Inget konkret behov 6. Ökad kunskap om interna system och deras kopplingar 7. Bättre omvärldsanalys av eller kunskap om externa hot/ skadlig kod 8. Ökad kunskap om fysiska hot 9. Visa bättre förståelse för regler/följa rutiner på ett bättre sätt 10. Visa bättre förståelse för konsekvenser av justeringar i IT-miljön för kärnverksamheten 11. Bredda befintlig kompetens till fler personer 12. Övriga svar * Den del av organisationen som jobbar med IT-säkerhetsfrågor relaterade kunskaper. När respondenterna bedömer kunskapen hos andra personer som på något sätt är involverade i arbetet med IT- och informationssäkerhet inom är det däremot bara den sistnämnda dimensionen som gäller. Denna skillnad i perspektiv kan vara en av anledningarna till varför kompeten- Andel respondenter i % Egen kompetens: Kollegornas kompetens: 19 5 14 11 14 5 10 16 10 11 5 5 – 21 – 16 – 11 5 5 Bas: 22 respondenter Öppen fråga Vet ej: 1/0 Inget svar: 1/3 sen hos de kollegor som jobbar med IT-säkerhet bedöms vara mer homogen än den egna kompetensen. Genomsnittet för kompetensbetygen i båda grupper är däremot relativt lika: 7,3 för respondenternas egen kompetens och 7,6 för kollegor som är verksamma inom området IT-säkerhet. it-säkerhet generellt och i krissituationer | 51
Genom att studera de existerande kompetensbehoven inom respektive organisation går det att få en djupare förståelse för hur ovanstående siffror bör tolkas. Om man börjar med att titta på det som respondenterna anser om den egna kompetensen framgår av tabellen på förra sidan (bild 22) att en ökad teknisk kunskap om befintliga och nya IT-lösningar ät mest eftertraktad. Den övergripande och sammanlänkade kompetens som de flesta respondenterna har i dagsläget räcker visserligen långt för att kunna strukturera upp IT-säkerhetsarbetet, men i många fall är det teknikernas specifika kunskaper som krävs för att göra planerna konkreta. Två andra typer av kompetens som efterlyses är att vara mer uppdaterad när det gäller utvecklingen av nya produkter och tjänster som befrämjar ITsäkerhet, samt ett förbättrat sätt att kommunicera frågan i organisationen. Den sistnämnda punkten är särskilt viktig eftersom kommentarer om ickeoptimal kommunikation även nämns på andra håll i intervjuerna. Kommunikation om IT-säkerhet kan rikta sig både mot ledningen (för att sälja in och förankra nödvändiga förändringar), mot IT-personalen (för att instruera de som har ett operativt ansvar) och mot vanliga anställda (för att öka medvetenheten). I alla dessa fall är det väldigt viktigt med bra pedagogik i framställningen för att kunna nå ut med budskapet. Även om en del av ansvaret givetvis ligger på mottagarna finns det i alla fall bland en del respondenter en 52 | beredskap mot skadlig kod medvetenhet om att det bör finnas möjligheter att förbättra kommunikationen. Följande två citat illustrerar detta behov: ”Jag har en bakgrund från tekniken och en förmåga att se sammanhang. Jag har gått kurs som VM-Data driver och följer utvecklingen, men man kan ju alltid behöva mer. Det som gör det hela svårt är att jag har en så blandad roll. Det jag skulle behöva mer av är praktisk erfarenhet av att sälja in budskap, ha aktiviteter tillsammans med personalen, t ex. göra riskanalyser under lite enklare former.” (IT, landsting) ”En av de viktigaste saker som jag skulle vilja lära mig är att följa upp och ställa krav på personalen att de gör det de ska göra. Det är ingen idé att jag sätter mig in i alla våra olika system. De viktigaste är att jag har den övergripande kunskap som krävs för att se till att de som är ansvariga för alla dessa system gör sitt jobb.” (IT, statligt bolag) Det är signifikativt att de två viktigaste kompetenshöjande åtgärderna som respondenterna föreslår för andra inom organisationen som jobbar med IT eller IT-säkerhetsarbete är att de först och främst blir bättre på att lära sig reglerna och följa rutinerna samt att de visar mer förståelse för konsekvenserna av justeringar i IT-miljön för kärnverksamheten. Även detta är delvis är en kommunikationsfråga och understryker ännu en gång vikten av de mjuka faktorerna inom IT-säkerhetsarbetet.
Page 1 and 2: Beredskap mot skadlig kod en kartl
Page 3 and 4: Titel: Beredskap mot skadlig kod -
Page 5 and 6: Kompetens på de som är involverad
Page 7 and 8: Presentation av författarna Under
Page 9 and 10: 2. I organisationer där en del av
Page 11 and 12: Rekommendationer Utifrån det som k
Page 13 and 14: informationshantering, till exempel
Page 15 and 16: 10. Två av tre respondenter säger
Page 17 and 18: Rapportens disposition Sammanfattni
Page 19 and 20: • Hur är beredskapen vad det gä
Page 21 and 22: Samtliga organisationer, både mynd
Page 23 and 24: Organisationens IT-rutiner Vikten a
Page 25 and 26: Bild 2. Respondenternas bedömning
Page 27 and 28: vart fjärde svar). Att IT-systemen
Page 29 and 30: krav på IT-systemets säkerhetsniv
Page 31 and 32: gäller att deras verksamhet varken
Page 33 and 34: Bild 8. Andel av respondenter som v
Page 35 and 36: Bild 10. För och nackdelar med IP-
Page 37 and 38: jämförelse mellan statliga organi
Page 39 and 40: IT-säkerhet generellt och i krissi
Page 41 and 42: Bild 13. IT-relaterade faktorer ord
Page 43 and 44: Bild 15. Viktighet av IT/informatio
Page 45 and 46: Säkerhet och IT-säkerhet inom org
Page 47 and 48: Bild 18. Dokument som reglerar IT-s
Page 49 and 50: Bild 20. Respondenternas nöjdhet m
Page 51: framför allt kräver att de har en
Page 55 and 56: Bild 23. Viktigaste kommunikationsk
Page 57 and 58: Beredskap mot intrång av skadlig k
Page 59 and 60: Bild 26. De största enskilda fakto
Page 63 and 64: Jämförelsebild 7. Kapacitet att s
Page 65 and 66: Verkliga intrång av skadlig kod En
Page 67 and 68: Bild 30. Långsiktiga förändringa
Page 75 and 76: Bild 34. Storlek på den grupp av p
Page 77 and 78: Appendix: frågeformulär besöksin
Page 79 and 80: 6. Vilka anser du är de största s
Page 81 and 82: 19. På en skala från 1 till 10, i
Page 83 and 84: III. IT-säkerhet generellt och i k
Page 85 and 86: 43. På en skala från 1-10, hur n
Page 87 and 88: 60. I vilken utsträckning skulle d
Page 89 and 90: 69. Var på denna tidsskala bedöme
Page 92: kbm:s temaserie 2005:1 Beredskap mo

Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...

Create successful ePaper yourself

Delete template?

Save as template?