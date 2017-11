"CIAO 2017" står det på papperslapparna som visar vägen till sal 2000 på Försvarshögskolan. Här har 26 personer med olika typer av ansvar för informationssäkerhet på myndigheter och företag samlats för att ytterligare vässa sina kunskaper kring sådant som riskbedömning, styrning och assymetriska hot.

Vi är kontinuerligt utsatta för attacker konstaterar Johan Lindberg som är kursansvarig och det gäller att rusta samhället.

Läs också: Studenter övade cyberförsvar på Försvarshögskolan – ”en förberedelse för framtida beslutsfattare”

– Vi måste höja bottenplattan i samhället och göra oss mer robusta.

Kursen gavs första gången 2009 och då efter amerikansk modell – deltagarna fick diplom från den amerikanska säkerhetstjänsten NSA efter genomgången kurs. Det enda som fattades var stämpeln konstaterar Johan Lindberg.

Johan Lindberg.

Nu har kursen omvandlats och blivit mer svensk och runt 70 procent av innehållet handlar om management och 30 procent om teknik.

Och kursen har behållit det amerikanska begreppet ciao – chief assurance officer.

– Målsättningen är att vi ska få en ciao på varje myndighet, en expert på informationssäkerhet som är knuten till ledningen och väger risker mot nytta, säger Johan Lindberg.

Ännu har ciao-rollen inte fått något genomslag men snart har 120 personer ändå gått utbildningen.

Läs också: Nu kan du plugga till hackare på KTH

Tidigare har de flesta kommit från offentlig sektor men nu är hälften från det privata näringslivet. Det välkomnar Johan Lindberg – mycket av vår infrastruktur sköts ju av privata aktörer konstaterar han.

I klassrummet blir det också tydligt att de bägge perspektiven finns. Dagens kursledare är Joakim Brandberg och han går igenom informationsklassning – han har spaltat upp hur företag och myndigheter delar in sin information i olika typer av säkerhetsklasser.

Snabbt kommer en diskussion hur klassningen egentligen är kopplad till behörigheter.

Bara för att man har behörighet att komma åt information är det inte säkert att man har rätt till den – man ska också ha ett behov av den. Men det här utmanas av digitalisering och samverkan konstaterar en man från företagssidan.

– Konnektivitet förutsätter ju en del synlighet Ska man samverka så handlar det inte bara om "need to know" utan det kan också handla om att dela sådant som är "nice to know".

Joakim Brandberg berättar att han försöker utmana gruppen och få igång debatten. Diskussionen om informationsklassning leder vidare till vad som egentligen kan läggas i molnet och hur man ska tänka kring det.

Kursledaren Joakim Brandberg tillsammans med Christina Boman, säkerhetschef och informationssäkerhetschef på Uppsala Universitet.

Utgångspunkten är ett fiktivt exempel kring företaget Krubb AB där det ges ett antal förutsättningar för den tekniska miljön och verksamheten.