Specialister på it- och informationssäkerhet: ”Vi bidrar med perspektiv och riktning"
Tekniska lösningar var inte prio ett när Borlänge kommun inledde arbetet för en stärkt it- och informationssäkerhet. För att lyckas behövde man ta ett större grepp. Richard Wikberg och Björn Odelfalk, specialister på it- och informationssäkerhet bidrar med perspektiv och riktning.
Redan under det första mötet insåg Richard Wikberg och Björn Odelfalk att uppdraget skulle bli både lärorikt och framgångsrikt. De är två synnerligen erfarna konsulter på Atea, med inriktning på it- och informationssäkerhet som har arbetat med många företag och organisationer.
– Vi insåg direkt att Borlänge hade en god bild av vad som behövde göras i stort när det gäller utvecklingen av deras informations- och it-säkerhet. Men de behövde någon som kunde ta ut riktningen. En samarbetspartner med specialistkompetens och förmåga att se saker i ett större perspektiv, berättar Richard Wikberg.
”Alla vill göra rätt. Men för att de ska kunna göra rätt, behöver vi hjälpa dem att bygga en “security awareness”, så att de verkligen förstår varför nya arbetssätt och rutiner är viktiga.”
Inställningen är avgörande
Han har bred och djup erfarenhet av informationssäkerhet. Han träffar ett stort antal aktörer som behöver stärka sin informationssäkerhet. Men alla har inte den inställning som krävs för att nå önskat resultat.
– Det var kommunens inställning till informationssäkerhet som gjorde att vi förstod att Borlänge redan var på rätt väg. Vi möter många som tror att tekniska lösningar är hela receptet för att stärka säkerheten. Men it-chefen Eva Bjurling visade att de var beredda att ta ett betydligt större grepp.
Kartläggning av information och teknik
Richard och Björn blev kommunens guider i det som skedde sedan. Ett omfattande arbete som inleddes med en inventering och kartläggning av såväl information som teknik.
– Eftersom struktur och systematik är avgörande faktorer för ett framgångsrikt och uthålligt arbete med it- och informationssäkerhet, föreslog vi tidigt att vi skulle följa ett säkerhetsramverk, förklarar Richard Wikberg.
– Det är ett ramverk som ser till att verksamheten uppfyller givna standarder, lagkrav och nivåer för it-säkerhet.
Ramverket ska stötta behoven
Men inget standardramverk är anpassat för en enskild verksamhet. Och det är till viss del i en sådan anpassning den stora utmaningen i ett säkerhetsarbete ligger. Målet, förklarar Richard, är att skruva på ramverket så att det möter behov och förutsättningar hos organisationen.
– Det är inget du gör med vänsterhanden. Utöver kartläggningen av tekniska system och rutiner genomförde vi intervjuer med it-chefen och tekniker på it-avdelningen. Det gav en extremt skarp bild av hur deras säkerhet ser ut och med den kunskapen som grund börjar vårt egna arbete.
Erfarenheten gör det enklare att navigera rätt
Björn beskriver det som en uppgift med många dimensioner, men utan slutdatum. Målbilden, som egentligen är det enda som ligger fast, är att skapa kontinuitet. Vilket innebär att de behöver ge verksamheten förutsättningar att fungera, oavsett vad som sker i it-systemen eller med verksamhetens information.
Exakt hur målbilden nås varierar. Därför är analys av befintlig teknik, processer och informationshantering en stor del av det arbetet. Men utan den erfarenhet som Björn och Richard har från tidigare uppdrag skulle det vara svårt att navigera rätt. Att göra prioriteringar som är rimliga för en komplex verksamhet är ofta en stor utmaning.
- Inventera. Skaffa dig en bild av samtliga system och vilken typ av information de hanterar. Men även hur informationsflöden ser ut och vilka rutiner organisationen följer. Passa på att se över vilka befintliga tekniska lösningar som finns på plats för att skydda informationen.
- Klassificera information. Det är nödvändigt för att du ska kunna avgöra på vilka sätt information och system ska skyddas och vilka delar som ska prioriteras.
- Skapa ett ramverk som omfattar informationssäkerheten. Ett befintligt ramverk anpassas efter organisationens övergripande verksamhetsstrategi, med hänsyn till bland annat säkerhet.
- Förändra beteenden och teknik. Förstärkning av informationssäkerheten handlar till viss del om tekniska lösningar. Framförallt behöver informationsflöden och arbetssätt anpassas. Sammantaget ska lösningar och rutiner möta behoven som formulerats i ramverket.
Upptäckte säkerhetsluckor
Ingen av dem vill prata om tekniska lösningar eller ens nya rutiner hos Borlänge kommun.
– Man ska inte prata om sin it- och informationssäkerhet. Det kan ge värdefull information till aktörer som är ute efter att skada verksamheten, säger Björn Odelfalk.
Men kartläggningen av kommunens tekniska system visade att det i vissa delar fanns upp till tre tekniska lösningar som skyddade samma information, medan det inom några få områden helt saknades tillräckligt skydd.
Två kompetenser ger bredd och djup
Tillsammans hittade Björn och Richard lösningar och metoder som gjorde att de kunde dra fördel av befintliga produkter på ett effektivare sätt som gav ett starkare skydd. De kunde också föreslå nya lösningar för att täppa till de få hål som fanns. Tack vare deras olika syn på en verksamhet och dess behov kompletterar de varandra väl.
– Richard är den som har koll på verksamheten och deras mål och har en övergripande kunskap om it-plattformen i stort. Han kan komma till mig, som gärna ger mig ner på ettor och nollor, och förklara att nu behöver verksamheten jobba på det här sättet, hur skapar vi en lösning för att nå dit?, säger Björn Odelfalk.
Motivation hos medarbetarna viktig
Samtidigt menar båda att tekniken nästan är ointressant i sammanhanget. Logiken bakom påståendet är att ingen teknisk lösning på egen hand löser informationssäkerheten, inte ens efter en gedigen och heltäckande analys. Säkerheten hos varje organisation är till stora delar beroende av användarna.
– Efter en förstärkning av it- och informationssäkerheten behövs ofta nya rutiner och arbetssätt, vilket i sin tur kräver utbildningsinsatser. Men det som kanske är viktigast är motivationen och engagemanget hos medarbetarna, säger Richard Wikberg.
Därför behöver säkerhetsarbetet innehålla fortlöpande utbildningar och informationsinsatser för användarna. Björn konstaterar:
– Alla vill göra rätt. Men för att de ska kunna göra rätt, behöver vi hjälpa dem att bygga en “security awareness”, så att de verkligen förstår varför nya arbetssätt och rutiner är viktiga.
Etablering av arbetssätt som följer vedertagna ramverk och ISO-standarder.
Beslut att ta hjälp av extern specialistkompetens inom säkerhet för rådgivning och opartisk granskning.
Beslut att följa de riktlinjer och rekommendationer som exempelvis MSB (Myndigheten för samhällsskydd och beredskap) och SKR (Sveriges kommuner och Regioner) redan har tagit fram.
”Hellre agera än reagera”, är hennes motto.
Borlänge kommun hör till en av de kommuner som har bäst koll på sin information och sitt it-skydd. Det är resultatet av ett tioårigt arbete för att hela tiden ligga steget före.
