Informationssäkerhet i verksamhetskritiska system
Vi har undersökt hur de ansvariga i en organisation arbetar med informationssäkerheten i ett verksamhetskritiskt system. Undersökningen har gjorts hos två organisationer i tidningsbranschen. Många organisationer tar inte hot och risker på allvar och inser inte vilka konsekvenser ett avbrott kan ge. Administrativa system som från början var tänkt som ett hjälpmedel för att få en effektivare organisation har blivit verksamhetskritiska. För organisationer som har verksamhetskritiska system är det viktigt att arbetet med informationssäkerheten görs enligt fastställda rutiner och regler. Det bör finnas en risk- och sårbarhetsanalys och en avbrottsplanering. Resultatet visar att de på båda organisationerna inte arbetar efter några speciella regler eller rutiner. De ansvariga gör det som behöver göras och ingen större planering av informationssäkerhetsarbetet görs. Trots frånvaron av regler och rutiner har de båda organisationerna klarat sig bra och inte haft några större incidenter. Det som är viktigt att nämna är att den kritiska delen i processen endast är en liten del av hela processen.