Change managementSecurity

Därför är informationsklassningsprojekt en kulturresa

Varför behöver din organisation klassa sin information?

Processen att klassa information är ett sätt att organisera ostrukturerad data. När data är klassad i olika kategorier blir det lättare att hämta, lagra och bedöma värdet av den information som en organisation besitter. Utöver värdet för risk- och informationssäkerhetsansvariga att kunna förstå vilken typ av information som finns i organisationen och möjlighet att kunna skydda den på ett adekvat sätt, finns det dessutom i vissa fall juridiska, legala eller efterlevnadskrav som kräver att informationen klassas.

Grunden för att kunna klassificera information är ett välplanerat informationsklassningsramverk. Ett informationsklassningsramverk bör beskriva vilka roller som behandlar information och vad de har för ansvar, hur information klassas och vad som gör att information får en särskild klassning. Varje klassning bör i ramverket definiera hur informationen får behandlas av respektive roll och hur den ska skyddas.

När ett informationsklassningsramverk finns på plats kan din organisation med fördel välja att införa ett informationsklassningssystem. Ett informationsklassningssystem hjälper medarbetare i din organisation att klassa information och applicerar automatisk det skydd som krävs för respektive klass. Ett bra informationsklassningssystem kan till och med skapa begränsningar i hur informationen kan behandlas i organisationens verksamhetssystem och hur den kan delas med externa parter.

https://docs.microsoft.com/en-us/microsoft-365/compliance/media/sensitivity-label-on-email.png

Ett exempel på informationsklassningssystem är Sensitivity Labels som ingår i sviten Microsoft Information Protection. Sensitivity Labels tillåter medarbetare att klassa information och applicerar ett skräddarsytt skydd på dokument. Microsoft Information Protection ger dig också möjlighet att automatisk klassa information och dessutom att återkalla externa behörigheter till dokument. För att kunna införa Sensitivity Labels krävs att din organisation har Office 365, en informationssäkerhetspolicy, ett informationsklassningsramverk och att verktyget konfigureras enligt dessa regelverk. Men trots goda införanden upplever många organisationer att de inte uppnår förväntat resultat. Oftast beror det på att organisationen inte lyckats bygga en kultur av att klassa information.

Därför är informationsklassningsprojekt en kulturresa som handlar om medarbetarna

Vi människor klassar all information som vi behandlar i vårt undermedvetna. Vi klassar den när vi avgör vad vi kan berätta för en kollega, när vi beslutar om det vi ska berätta kommer att skada någon och vad den vi berättar för kommer att göra med informationen. När man sätter det i relation till att klassa ett dokument som vi arbetar med, kan det uppfattas som underligt att det är så svårt att få medarbetare att klassa information i arbetet. Skillnaden är att när du klassar information undermedvetet använder du ditt eget ramverk för att klassa, inte ett ramverk som beslutats av någon annan. Detta ramverk bygger på din inneboende moral till skillnad från säkerhetsansvarigas åsikt och best practice. Det är därför av allra yttersta vikt att ditt informationsklassningsramverk resonerar med medarbetare i organisationen. Ramverket måste vara enkelt att förstå, lätt att ta till sig och något som går applicera på sitt arbete med så lite ansträngning som möjligt.

Utöver att informationsklassningsramverket är lätt att ta till sig är det också viktigt att vara medveten om att vi gör som vår omgivning. Om chefer och kulturbärare inte anser att det är viktigt att klassa information eller inte ser det som sitt ansvar att värna om informationen så kommer inte medarbetarna heller att göra det. När du genomför ett införande av ett informationsklassningssystem är särskilt viktigt att du får med dig chefer och kulturbärare på resan och att det är dessa medarbetar som leder förändringen i verksamheten.

Steg för att lyckas med införandet

När du väl lyckats få med dig de mest vitala grupperingarna i organisationen kan du påbörja ett införande. För att göra det enklare för dig har vi brutit ner resan i steg. Hur lång tid varje steg tar beror på organisationen.

1. Förankra regelverk

Inled ditt projekt med att välja ut rätt projektgrupp och en synlig huvudsponsor med stort förtroende. Att välja en bra projektgrupp är kritiskt för att skapa ett enkelt och förståeligt informationsklassningsramverk – därför behöver verksamheten representeras i projektgruppen. När ett informationsklassningsramverk och en informationssäkerhetspolicy är förankrade kan ni välja ett informationsklassningssystem som möter era behov.

2. Konfigurera verktyg för klassning

I det här steget konfigureras verktyget efter de regelverk som organisationen har för att skydda och klassa information. Du bör konfigurera informationsklasser, hur säkerhetsregler appliceras på varje informationsklass, hur larm ska rapporteras, hur information ska övervakas och klassas automatiskt, samt vilken information som ska kunna klassas.

För att vänja medarbetare vid det nya verktyget kan du aktivera Sensitivity Labels verktyget utan att tvinga medarbetare att klassa dokument. Om du inför Sensitivity Labels samtidigt som Office 365 är det här att föredra eftersom det bryter ner förändringsresan i hanterbara delar. Vi rekommenderar våra kunder att aktivera skyddet för den högsta klassningsnivån från det att Sensitivity Labels lanseras.

3. Tvinga medarbetarna att klassa dokument

När medarbetare vant sig vid verktygen inom Office 365 eller då de under en kortare period klassat information kan du ta nästa steg. När verksamheten börjat klassa informationen tillräckligt väl kan du slå funktionen så att alla dokument måste klassas. Samtidigt aktiveras även den klassning som sätts på alla dokument som inte ännu klassats och föreslagen klassning. Föreslagen klassning ger medarbetare aktivera automatiska förslag på klass per dokument. Om förslagen inte möter informationsklassningsramverket korrekt bör det justeras.

https://docs.microsoft.com/en-us/microsoft-365/compliance/media/sensitivity-label-in-excel.png

4. Börja automatiskt klassa dokument

Nu när har medarbetarna vant sig vid att vid att klassa sin information kan du aktivera automatisk klassning. För att konfigurera funktionen som klassar information automatiskt krävs viss mängd data för att skräddarsy och finslipa samt att fungera med hög precision. Det är viktigt att det här steget genomförs innan skyddet aktiveras då risken för att verksamheten begränsas om många dokument skulle klassas fel.

5. Slå på skydd för klassade dokument

Du är redo att aktivera skydd för dina klassade dokument när verksamheten och den automatiska klassningen utförs på rätt sätt. När du aktiverar skydd på informationsklasser kommer verksamheten alltid att påverkas i någon bemärkelse eftersom det är mycket svårt att uppnå en 100%-klassning, men om du följer stegen ökar du chanserna att lyckas med införandet och minimera påverkan på verksamheten.

Stärk din organisations säkerhetsarbete idag

Behöver du hjälp med att göra förändringsledning till en del av ditt säkerhetsarbete? Vi på Coligo hjälper dig gärna med att utveckla ert säkerhetsarbete. Kontakta oss idag för att veta mer om hur vi kan stötta er IT-organisation.