Säpo

Säkerhetsanalys

Vad är det för aspekter en myndighet eller organisation bör tänka på för att analysera sin verksamhet utifrån begrepp som skyddsvärt, hot och konsekvenser?

Elstation med ledningar

Identifiera den skyddsvärda verksamheten

Det är vanligt att en organisation utvecklar skyddsåtgärder utan att grundligt ha analyserat frågan om vad som egentligen behöver skyddas. Den grundläggande frågan är: vad är skyddsvärt i vår verksamhet?

Bestäm vilka konsekvenser som är oacceptabla

Samhällets säkerhetsskyddsarbete inriktas på att förebygga spionage, sabotage och terrorism. Sådana brott riskerar att leda till stora störningar i samhället. De kan ge allvarliga funktionella, politiska, ekonomiska eller sociala följder som utslagen elförsörjning, otillförlitliga IT-system eller telekommunikationer. Det är alltså de potentiella konsekvenserna av ett angrepp som avgör skyddsvärdet i en verksamhet.

Syftet med en konsekvensanalys är dels att bedöma skyddsvärdet av olika delar av verksamheten, dels att bestämma vilka konsekvenser som är oacceptabla och som måste motverkas.

Kan stöld eller förvanskning av information alternativt ett sabotage på någon del av verksamheten få sådana följder att det är av betydelse för rikets säkerhet? Detta måste verksamheten eller företaget ha svar på.

Värdera sårbarheterna

När man identifierat det skyddsvärda är nästa steg en sårbarhetsanalys. Målet är att identifiera och analysera sårbarheter som det skyddsvärda har och som kan utnyttjas av en antagonist.

Säkerhetspolisen konstaterar att det ibland existerar allvarliga sårbarheter i en verksamhet på grund av att verksamheten inte identifierat det som bör skyddas. Detta kan få stora konsekvenser. Ett exempel är att organisationer missat att identifiera olika IT-system som skyddsvärda och sedan outsourcat systemen med otillräckliga krav på säkerhet.

Åtgärda sårbarheterna

Välj säkerhetsskyddsåtgärder långsiktigt och i rätt tid. Åtgärder för att hantera sårbarheter i skyddsvärd verksamhet kan delas in i olika områden:

  • Fysiskt skydd
  • Informationssäkerhet
  • Säkerhetsprövning (skydd mot insiders)
  • Utbildning i säkerhetsskydd
  • Kontroll av säkerhetsskyddet

Skyddsåtgärder inom dessa områden måste komplettera varandra för att ge bästa effekt. Effekten av ett säkerhetsskyddssystem blir förstås bäst om det på ett naturligt sätt byggs in i verksamheten från början.

För vissa åtgärdsområden, exempelvis fysiskt skydd, är tidsplaneringen viktig eftersom skyddet måste ”byggas in” när lokalerna byggs. Det går alltid att ”lägga på” skyddsåtgärder i efterhand men det är sällan lika bra ur vare sig ett säkerhets- eller kostnadsperspektiv. Samma sak gäller för elektroniska säkerhetsskyddsåtgärder och skydd mot insiders vid anställning (säkerhetsprövning).