– Det känns verkligen ärofyllt att få ta emot Isaca Sweden Chapters stipendium för vårt examensarbete, inte minst i och med att det långsiktiga syftet med uppsatsen var att sprida kunskap inom ämnet och att förhoppningsvis kunna inspirera till vidare forskning. Eftersom att våren 2020 går till historien av (alla) andra skäl än vår studie, känns det extra kul att få ett erkännande att uppsatsen trots allt inte har gått helt obemärkt. Jag har dessutom fått värdefull användning av kunskaper vi förvärvade under uppsatsen, då en del av mina nuvarande arbetsuppgifter innefattar säkerhetsutvärdering av molntjänster samt compliance med diverse certifieringar och regelverk.
Berätta om din arbetsroll på Sweco!
– Jag jobbar med informationssäkerhet på Sweco som har nästintill 18 000 anställda utspridda över 14 länder. Det är väldigt intressant och lärorikt att försöka samordna ledningssystem för informationssäkerhet över landsgränser vad gäller allt från olika lagar till kulturskillnader. Att vara konsultverksamhet innebär dessutom att informationen vi hanterar i många fall tillhör kunden som i sin tur har sina respektive förväntningar och krav vi ska efterleva.
I kölvattnet av pandemin – vad har kommit att bli de största utmaningarna gällande just informationssäkerhet och hur kommer det att se ut framöver?
– Jag är fortfarande en gröngöling i branschen men utifrån nuvarande befattning och erfarenhet skulle jag säga att den största utmaningen som pandemin innebär inom just informationssäkerhet rör Security awareness och Cyber hygiene, i samband med att anställda jobbar på distans. Jag må vara arbetsskadad som tidigare personal- och beteendevetare, men statistiken säger också sitt, exempelvis att mer än hälften av samtliga personuppgiftsincidenter som Datainspektionen fick in under 2019 var av orsaken ”den mänskliga faktorn”. Jag vågar inte tro att en pandemi och medföljande distansarbete år 2020 har fått denna siffra att sjunka. Omständigheter som att personalen eventuellt hanterar intern information på privata enheter, icke-godkända molntjänstverktyg samt ansluter till publika nätverk, ställer givetvis högre krav på individnivå i form av medvetenhet och beteende. Hantering av information går givetvis inte att kontrollera på samma sätt som inom ett kontor med exempelvis accesskort och ett internt nätverk. Ansvaret att skydda organisationens information är mer decentraliserat än någonsin och det är av ännu större vikt att förhindra, upptäcka och följa upp eventuella överträdelser (helst innan de blir incidenter) genom utbildning för att på så sätt ge användarna förutsättningar att göra rätt. För att få önskad effekt på de anställdas beteende är det fundamentalt att utbildningen och kommunikationen kring informationssäkerhet i sig är både begriplig och rolig. Informationssäkerhetsarbetet ska inte vara hämmande utan istället möjliggörande, lika klyschigt som det är sant!