Hoppa till huvudinnehåll
Att anlita konsulter med spetskompetens ledde till ett högt engagemang bland medarbetarna. Det berättar Linus Martinsson, it-chef i Torsås kommun. Här beskriver han hur kommunen, steg för steg, har stärkt informationssäkerheten.
Torsås kommun
Torsås
En trygg, genomtänkt och säker förflyttning till molnet.

Ur ett säkerhetsperspektiv är molnresan extra komplex för en kommun. De måste följa strikta regelverk och kan inte lagra sin information hur och var som helst.

Torsås kommun i sydöstra Småland hade bestämt sig för att införa Office 365 – och ville göra molnresan så säker som möjligt. Därför valde de att börja med momentet ”Säker väg till molnet” tillsammans med Atea, vid årsskiftet 2019/2020.

– Vi är en så pass liten kommun att vi inte själva kan sitta på all spetskompetens. Därför känns det skönt med Atea som är en trygg och stabil partner. Det finns alltid hjälp att få. Atea är också ett bra bollplank att hänvisa till, när användarna har funderingar, säger it-chefen Linus Martinsson.

”Vi har bestämt att personuppgifter och andra känsliga uppgifter inte får ligga i molnet. När det gäller sekretessbelagd information ska den inte förekomma på nätverket över huvud taget, utan endast i verksamhetssystemen”

— Linus Martinsson
It-chef i Torsås kommun

Värdefull analys av uppgifter

Linus Martinsson, Torsås kommun, tipsar: 3 sätt för en trygg, genomtänkt och säker förflyttning till molnet
  1. Gör allt i rätt ordning och påbörja inte arbetet förrän du vet vilka steg du ska ta. På så sätt slipper du tidskrävande revideringar i efterhand.
  2. Ta extern hjälp inom de områden där den egna organisationen saknar kompetens.
  3. Utbilda användarna, så att nya rutiner och riktlinjer förankras i organisationen.

Ett viktigt steg var att ta fram en ny informationssäkerhetspolicy, som skulle ligga till grund för nya riktlinjer för kommunens informationssäkerhet. Riktlinjerna sammanfattas i ett dokument, upprättat enligt ISO 27000-standarden, och här lyftes även hanteringen av molntjänsterna in.

Detta gjorde Torsås kommun på egen hand. Däremot var Atea en mycket viktig samarbetspartner vid säkerhetsklassningen av den information som kommunen hanterar.

För att göra allt i rätt ordning och inte skapa oreda som skulle komplicera arbetet i ett senare skede tog kommunen tidigt hjälp av Atea, som även stöttade med projektledningen.
Tillsammans med konsulterna gick kommunen noggrant igenom en förvaltning i taget.

– Det första vi behövde göra var att identifiera vilken information som vi hanterar, vilken data som finns i den och sedan göra en risk- och sårbarhetsanalys, säger Linus Martinsson.

Säker väg till molnet

Säker väg till molnet riktar sig till dig som ska börja använda en molntjänst eller funderar på att flytta verksamhetssystem till molnet. 

Läs mer om Säker väg till molnet

Riktlinjer gör vardagen enklare

Information som en kommun behandlar kan vara mer eller mindre känslig. Det är en stor skillnad mellan ett sjukintyg och en matsedel. En säkerhetsklassning avgör hur allvarligt det är om uppgifterna hamnar i orätta händer, ändras av någon utan behörighet eller försvinner.

I stort sett är det inga problem att ha offentliga och icke skyddsvärda uppgifter i molnet, till exempel allmänna fakta som ändå publiceras på kommunens webbplats.

Men även helt öppen information kan vara viktig att skydda från intrång. Det skulle exempelvis vara förödande om krisinformation rörande coronapandemin förvanskades.

– Vi har bestämt att personuppgifter och andra känsliga uppgifter inte får ligga i molnet. När det gäller sekretessbelagd information ska den inte förekomma på nätverket över huvud taget, utan endast i verksamhetssystemen. Det står svart på vitt i våra riktlinjer och jag bedömer att efterlevnaden är god, säger Linus Martinsson.

Spetskompetens gav ökat engagemang

Torsås kommun har också ytterligare förtydligat att Dropbox och liknande molntjänster, där man skriver över ägandet av innehållet till leverantören, inte ska användas samt att personuppgifter aldrig ska skickas via e-post. I stället hänvisas till tjänster från SecureAppbox, ett svenskt företag specialiserat på säker kommunikation via molnet.

Men det hjälper inte med nya tekniska säkerhetslösningar om medarbetarna använder dem på fel sätt eller kanske inte alls. En förutsättning för en lyckad process är därför en ökad kunskap och medvetenhet hos medarbetarna.

Och det har delmomentet ”Säker väg till molnet” bidragit till, tror Linus Martinsson.

– Visst, det kostar pengar att ta in konsulter som hjälper oss. Men det ger oss också en spetskompetens inom området. Jag upplever att extern kompetens, som verkligen vet vad de talar om, skapar ett större engagemang bland medarbetarna. Jag tror inte responsen hade blivit densamma om vi på it-avdelningen hade gjort allt själva.

Rutiner behövde förändras

En viktig sak som upptäcktes under arbetet med ”Säker väg till molnet” var att en del medarbetare på grund av sämre ordbehandlingsmöjligheter i sina verksamhetssystem klippte ut information för bearbetning i Word, innan den klistrades tillbaka i det ursprungliga dokumentet.

Med ett molnbaserat Officepaket leder ett sådant arbetssätt till att informationen hamnar i molnet, om än tillfälligt och kortvarigt. Nu uppdagades det som tur var i tid och ingen skada var skedd.

– Vi använder både E3- och F3-licenser för Office 365. I det senare fallet måste du ladda upp allt i molnet för att kunna behandla det. Så där behövde vi gå ut med extrainformation om att det inte går att ha det arbetssättet, säger Linus Martinsson och tillägger:

– Från början trodde vi inte att det skulle finnas så stora behov av att ha Office installerat på de lokala arbetsstationerna, men där har vi fått uppgradera ganska rejält på flera ställen.

Torsås vägskylt

”Racerimplementeringar” bör följas upp

”Säker väg till molnet” tog ungefär två månader att genomföra. Men ganska kort efteråt uppstod nya, relaterade utmaningar.

Coronapandemin slog till med full kraft under förra våren. Det föranledde en, med Linus Martinssons ord, ”racerimplementering” av Teams. Det fanns ingen färdig policy för programvaran, vilket behövde hanteras snabbt.

– Även om riktlinjerna var på plats är det fortfarande ett generellt dokument, som inte går in i detaljer på hur specifika programvaror ska användas, säger Linus Martinsson.

Ger ovärderlig trygghet

Torsås kommun har inte gjort någon formell ROI-mätning av vilken avkastning säkerhetsprojektet beräknas ge. Men om Integritetsskyddsmyndigheten skulle knacka på dörren känner sig Linus Martinsson trygg med att kommunen hanterar all information på ett korrekt sätt. Det är ovärderligt, konstaterar han.

Linus Martinsson sitter i ett fönster

– Att skydda kommunens information är inget vi gör en gång och sedan är det klart. Det är ett levande arbete. Om tio år tror jag att alla it-tjänster kommer att finnas i molnet, säger Torsås kommuns it-chef Linus Martinsson.

När EU-domstolen kom med sin Schrems II-dom sommaren 2020 kunde han också lugnt berätta för alla att Torsås kommun redan anpassat sig till innehållet, som i princip innebär att kommuner inte får förvara data i molntjänster med amerikanska ägare.

– Både journalister och konsulter hörde av sig. Jag kunde ge raka och tydliga svar på hur vi hanterar våra uppgifter efter att ha jobbat med Atea och implementerat allting. Därefter fick jag inte några ytterligare frågor om det. Jag kunde förklara hur vi skyddar vår data och det kändes jättebra.

******************
Text: Johan Bentzel
Foto: Jonas Ljungblad
******************

Säker väg till molnet

Säker väg till molnet riktar sig till dig som ska börja använda en molntjänst eller funderar på att flytta verksamhetssystem till molnet. 

Läs mer om Säker väg till molnet

Stöd som Torsås kommun fått av Atea:

  1. Projektledning av informationssäkerhetsarbetet.
  2. Utbildning, informationsutskick och konsulttjänster vid implementering av nya rutiner och riktlinjer.
  3. Utredning av licensbehov för Office 365.

Windows dator