Avsnittet: 190 – Att genomföra förändring
Inspelat: 2022-12-08 (publicerat 2022-12-11)
Deltagare: Erik Zalitis, Mattias Jadesköld, Jan-Olof Andersson, Tobias Anders.
Detta avsnitt är ett samarbete med SIG Security.
Lyssna på avsnittet – SMS – förändring
Medan du lyssnar
Jan-Olof kallas ofta för JOA och han har 40 år i branschen. Det kan ju verka lite märkligt, men tanke på att IT-säkerhet är runt 25 år gammal som bransch. Men JOA jobbar inom Infosec har arbetat med området då det handlade mycket om fysisk säkerhet. Han är också författare till flera böcker och har talat för sitt ämne i lika länge.
Tobias däremot har bara skrivit en bok, än så länge, mne valdes till ”Årets GRC profil” av organisationen Government Risk Compliance.
Så det finns en enorm kunskapsbas dessa herrar emellan. Och vi pratar förändring av säkerhetskulturen och en hel del om ISO 27001. Det är många punkter som ett ISO 27001-certifierat företag måste kunna kryssa av och nyligen har en ny version kommit ut med flera punkter.
Mattias höll i frågorna nedan, medan jag gjorde en ihop för att bredda området lite.
Några av frågorna:
- (JOA)Jag tänkte att vi ska väva ihop säkerhetskulturen och resan mot 27001. Så först, JOA, vad är 27001?
- (Tobias) Och, Tobias, informationssäkerhetskultur. Vad är det?
- (Tobias) Jag kände mig lite träffad när du din undertitel är ”Varför det inte räcker med utbildning” – för det är ofta det man tjatar om. Berätta varför?
- (Tobias) Vad är bra säkerhetskultur respektive dålig?
- (Tobias) 3 av 10 statsanställda fruktar repressalier ifall de kritiserar. Vad sätter det för kultur?
- (JOA) om man ska införa 27001 i ett företag. Ställer det några krav på kulturen?
- (JOA) Förmåga att hantera verksamhetens behov, legala krav, brister och risker inom informationssäkerhetsområdet. Vad krävs?
- (Tobias), du beskriver kulturen som en lök med flera lager (synlig, osynlig och kärna). Berätta.
- (Tobias) ”Medarbetarnas utrymme” -vad innebär det Tobias?
- (JOA) hur påverkas medarbetarnas utrumme ifall en organisation är certifierad enligt ISO 27001 eller inte certifierad?
- (Tobias) En annan vanlig sak på en arbetsplats är att ”regler inte efterföljs” – vad är orsakerna till det?
- (Tobias) en modell över org.kultur jag fastnade för var en graf där ena axeln var intern<>ext och andra kontroll<>flexibilitet. Vad skapar det för företag?
- Vad är vanligast?
- Är någon bättre/sämre?
Länkar – SMS – förändring
Felaktigheter
- Inget att rapportera denna gång. Kommentera gärna om ni
inte håller med omhittar fel i något vi sagt.