Varbergs kommun föregångare inom IT-säkerhet
Varbergs kommun föregångare inom IT-säkerhet
Varbergs kommun föregångare inom IT-säkerhet
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
V A R B E R G S K O M M U N<br />
<strong>Varbergs</strong> <strong>kommun</strong><br />
<strong>föregångare</strong> <strong>inom</strong> <strong>IT</strong>-<strong>säkerhet</strong><br />
av lena lidberg<br />
Vilka är <strong>kommun</strong>ens viktigaste <strong>IT</strong>-system? Och hur<br />
länge kan systemen ligga nere innan det uppstår<br />
kaos i verksamheterna?<br />
Frågor som dessa har hög prioritet i <strong>Varbergs</strong><br />
<strong>kommun</strong>, som ligger långt framme <strong>inom</strong> området<br />
<strong>IT</strong>-<strong>säkerhet</strong>.<br />
– Vi har jobbat på bred front. Vår <strong>IT</strong>-<strong>säkerhet</strong>spolicy<br />
är beslutad av fullmäktige och har fått ett<br />
stort genomslag i hela organisationen, säger Anita<br />
Eckersand, <strong>IT</strong>-chef i <strong>Varbergs</strong> <strong>kommun</strong>.<br />
Sedan år 2000 har Anita Eckersand arbetat <strong>inom</strong> <strong>Varbergs</strong> <strong>kommun</strong>.<br />
Innan dess jobbade hon <strong>inom</strong> kriminalvården.<br />
– Mycket av mitt <strong>säkerhet</strong>stänkande har jag fått därifrån. Jag är van<br />
vid att arbeta med struktur- och ansvarsfrågor, förklarar hon.<br />
I dag är hon chef för <strong>IT</strong>-Driften i <strong>Varbergs</strong> <strong>kommun</strong>, en avdelning med<br />
cirka 15 anställda.<br />
Anita Eckersands tjänst består av två delar. 75 procent av arbetstiden<br />
ägnar hon åt driftsansvaret, och 25 procent åt <strong>IT</strong>-strategi.<br />
– Det är lite ovanligt att kombinera detta i en och samma tjänst, men<br />
jag tycker att det är en bra lösning. Det handlar ju om ämnen som har<br />
ett naturligt samband.<br />
Hon har själv ingen bakgrund som tekniker, utan betonar att hennes<br />
roll är att leda personalen och se till helheten.<br />
– Min uppgift är inte att lösa alla tekniska problem. Det gör den duktiga<br />
personalen på <strong>IT</strong>-Driften, framhåller Anita Eckersand.<br />
<strong>IT</strong>-strategi och <strong>IT</strong>-<strong>säkerhet</strong>spolicy<br />
Hösten 2000 antog <strong>Varbergs</strong> <strong>kommun</strong>fullmäktige en övergripande <strong>IT</strong>strategi<br />
för <strong>kommun</strong>en och de <strong>kommun</strong>ala verksamheterna. Här ingick<br />
bland annat strategier för bredbandsutbyggnaden.<br />
Men <strong>kommun</strong>en insåg också att det behövdes ett komplement, i form av<br />
en <strong>IT</strong>-<strong>säkerhet</strong>spolicy. En sådan antogs av fullmäktige året därpå, hösten 2001.<br />
Fakta om<br />
<strong>Varbergs</strong> <strong>kommun</strong><br />
Kommunen ligger i Hallands län.<br />
Varberg<br />
Arealen är 874 kvadratkilometer och<br />
antalet invånare drygt 54 000 (2005).<br />
Utöver Varberg ingår tätorter som Bua,<br />
Träslövsläge, Tvååker och Veddige.<br />
Kommunen har cirka 4 300 anställda.<br />
Risk-/hotbild<br />
Varberg tillhör en av Sveriges tillväxt-<br />
regioner. Kommunen är en viktig knut-<br />
punkt för godstrafiken genom motorväg,<br />
järnväg och hamn. Här finns också<br />
färjeförbindelse med Grenå i Danmark.
”Förtroendet för<br />
<strong>kommun</strong>ens verk-<br />
samhet tar lång<br />
tid att bygga upp,<br />
men kan raseras<br />
av en enskild inci-<br />
dent. Därför måste<br />
<strong>säkerhet</strong>, kvalitet<br />
och integritet inte<br />
bara vara honnörs-<br />
ord utan också<br />
utgöra riktmärken<br />
till efterlevnad.”<br />
M E D V I N D I S Ä K E R H E T S A R B E T E T<br />
– Policyn är ett styrdokument som anger ledningens syn på <strong>IT</strong>-<strong>säkerhet</strong>,<br />
inriktning, mål och ansvar för <strong>IT</strong>-<strong>säkerhet</strong>sarbetet och hur målen ska<br />
uppnås, berättar Anita Eckersand, som är en av de personer som bidrog med<br />
synpunkter när policyn togs fram.<br />
Mer beroende av <strong>IT</strong><br />
Av policyn framgår bland annat att <strong>Varbergs</strong> <strong>kommun</strong> målmedvetet satsar<br />
på en ökad användning av informationsteknik. Tekniken utvecklas snabbt<br />
och ger nya möjligheter, men satsningarna innebär samtidigt att <strong>kommun</strong>en<br />
blir mer och mer beroende av att <strong>IT</strong>-lösningarna fungerar.<br />
”Kommunens invånare måste alltid känna sig övertygade om att <strong>kommun</strong>en<br />
hanterar information om sina <strong>kommun</strong>invånare på ett korrekt sätt”,<br />
är en av de formuleringar som ingår i policyn.<br />
En annan är denna: ”Förtroendet för <strong>kommun</strong>ens verksamhet tar lång<br />
tid att bygga upp, men kan raseras av en enskild incident. Därför måste<br />
<strong>säkerhet</strong>, kvalitet och integritet inte bara vara honnörsord utan också utgöra<br />
riktmärken till efterlevnad.”<br />
Tydlig ansvarsfördelning<br />
I policyn poängteras också att en hög <strong>IT</strong>-<strong>säkerhet</strong> förutsätter att det finns en<br />
tydlig ansvarsfördelning.<br />
I <strong>Varbergs</strong> <strong>kommun</strong> är det <strong>kommun</strong>styrelsen som beslutar om <strong>säkerhet</strong>spolicyn<br />
och har det övergripande ansvaret för <strong>IT</strong>-<strong>säkerhet</strong>en. Kommunstyrelsen<br />
och nämnderna är ytterst ansvariga för <strong>IT</strong>-<strong>säkerhet</strong>en <strong>inom</strong> sitt respektive<br />
område.<br />
Kommundirektören ansvarar för att det finns aktuella riktlinjer och föreskrifter,<br />
medan <strong>IT</strong>-chefen ansvarar för regelverk, samordning och kontroll.<br />
– Utöver detta har vi funktioner som vi kallar systemägare, systemförvaltare<br />
och lokala <strong>IT</strong>-<strong>säkerhet</strong>sombud. Alla är de viktiga delar av vår ansvarskedja,<br />
säger Anita Eckersand.<br />
Förvaltningscheferna är systemägare<br />
Det är förvaltningscheferna som har rollen som systemägare, vilket innebär<br />
att de är ansvariga för det operativa <strong>IT</strong>-<strong>säkerhet</strong>sarbetet <strong>inom</strong> sin förvaltning.<br />
– Förvaltningscheferna har ansvaret för att genomföra de övergripande<br />
risk- och sårbarhetsanalyserna på respektive förvaltning, och där ingår <strong>IT</strong><strong>säkerhet</strong><br />
som en av delarna. Inom <strong>IT</strong>-<strong>säkerhet</strong>sområdet svarar förvaltningscheferna<br />
dessutom för informationskvaliteten och system<strong>säkerhet</strong>splanen,<br />
plus att de ska vidta nödvändiga skyddsåtgärder och se till att personalen<br />
har rätt utbildning i system<strong>säkerhet</strong>, förklarar Anita Eckersand.
Till sin hjälp utser systemägaren en eller flera systemförvaltare, vilket är<br />
medarbetare som till exempel beställer uppgraderingarna av programvara.<br />
Systemägaren utser också ett lokalt <strong>IT</strong>-<strong>säkerhet</strong>sombud, som håller i<br />
utbildningar och gör uppföljningar av det lokala <strong>säkerhet</strong>sarbetet.<br />
Nätverk för <strong>IT</strong>-frågor<br />
– <strong>IT</strong>-<strong>säkerhet</strong>sombuden fungerar i de allra flesta fall även som kontaktpersoner<br />
för oss på <strong>IT</strong>-Driften. Varannan månad, eller vid behov, samlar vi vårt<br />
nätverk med <strong>IT</strong>-kontaktpersoner från förvaltningarna. Då informerar vi om<br />
saker som är på gång, till exempel förändringar i lösenord och inloggningsrutiner,<br />
säger Anita Eckersand.<br />
Mellan <strong>IT</strong>-Driften och förvaltningarna finns en uppdelning i vad som betraktas<br />
som <strong>IT</strong>-infrastruktur och vad som betraktas som verksamhetssystem.<br />
– I infrastrukturen ingår till exempel nätverk, servrar och serviceapplikationer<br />
som behövs för att drifta verksamheten. Det är delar som vi på <strong>IT</strong>-<br />
Driften ansvarar för. Däremot ansvarar varje förvaltning för sina verksamhetssystem,<br />
även om vi står för vissa serviceåtgärder.<br />
Dialog med förvaltningarna<br />
Anita Eckersand påpekar att dessa båda delar dock behöver knytas samman,<br />
så att det bildas en helhet där <strong>IT</strong>-<strong>säkerhet</strong>en står i centrum.<br />
Hon ger ett exempel: om Ekonomiska kontoret behöver ett nytt ekonomisystem<br />
finns <strong>IT</strong>-Driften med på ett hörn för att ställa relevanta frågor och för<br />
att kontrollera att systemet passar in i <strong>kommun</strong>ens övergripande <strong>IT</strong>-miljö.<br />
– Vi för hela tiden en dialog med förvaltningarna. Ibland kan det hända<br />
att vi får sänka våra ursprungskrav, kanske av ekonomiska skäl. Och ibland<br />
är det kanske förvaltningen som får förändra sina krav gentemot leverantörerna.<br />
Men hela tiden har vi B<strong>IT</strong>S, den basnivå för <strong>IT</strong>-<strong>säkerhet</strong> som Krisberedskapsmyndigheten<br />
förespråkar, som utgångspunkt. Det har vi ett<br />
fullmäktigebeslut på, säger Anita Eckersand.<br />
Prislapp på driftstopp<br />
När förvaltningarna gör sina risk- och sårbarhetsanalyser kartlägger de bland<br />
annat vilka system som har hög sårbarhet och vilka som kan ligga nere för<br />
en viss period. Finns det manuella rutiner som kan tas i bruk om det uppstår<br />
störningar, och hur ser behovet av reservkraft ut?<br />
– Det här är frågor som kan skilja sig mycket från förvaltning till förvaltning.<br />
Men det viktiga är att vi får fram verksamheternas prioritetsordningar.<br />
Då kan vi göra risk- och sårbarhetsanalyser för <strong>IT</strong>-infrastrukturen, och därmed<br />
få fram prioriteringar för hela <strong>IT</strong>-driften.<br />
TIPS<br />
I SÄKERHETSARBETET<br />
• Satsa på en <strong>IT</strong>-<strong>säkerhet</strong>spolicy som<br />
är beslutad av fullmäktige och<br />
spridd i hela organisationen.<br />
• Se till att ansvarsfördelningen är<br />
tydlig.<br />
• Använd KBM:s B<strong>IT</strong>S, basnivå för<br />
<strong>IT</strong>-<strong>säkerhet</strong>, som utgångspunkt<br />
i arbetet.<br />
• Sammanställ en prioriteringsord-<br />
ning för hela <strong>IT</strong>-driften, och gör<br />
beräkningar av vad driftstopp av<br />
olika system kostar.<br />
• Ta fram en <strong>IT</strong>-<strong>säkerhet</strong>shandbok<br />
och satsa på utbildning av perso-<br />
nalen.<br />
• Inför lokala <strong>IT</strong>-<strong>säkerhet</strong>sombud<br />
i verksamheterna.<br />
V A R B E R G S K O M M U N
KONTAKT<br />
<strong>Varbergs</strong> <strong>kommun</strong><br />
Telefon: 0340-880 00<br />
www.varberg.se<br />
M E D V I N D I S Ä K E R H E T S A R B E T E T<br />
I <strong>Varbergs</strong> <strong>kommun</strong> leder bedömningarna även fram till en prislapp.<br />
– Vi gör en uppskattning av vad det kostar att ha mejlsystemet stående<br />
i till exempel fyra timmar, eller i två dygn. Sedan är det politikernas sak att<br />
avgöra på vilken nivå vi ska ligga, förklarar Anita Eckersand.<br />
”Alla vet vad som gäller”<br />
Hon konstaterar att kunskaperna om <strong>IT</strong>-<strong>säkerhet</strong> har ökat väsentligt i <strong>kommun</strong>en<br />
de senaste åren. Det gäller på alla nivåer.<br />
Som exempel har den fysiska <strong>säkerhet</strong>en med larm och lås förbättrats,<br />
antivirussystemen har utökats och mejlsystemet blivit avskilt från de övriga<br />
systemen.<br />
– Ett annat exempel är att vi har ändrat en del inloggningsrutiner. Nu har<br />
alla anställda, även teknikerna, personliga behörigheter till systemen. Det<br />
har medfört en del merarbete, men alla förstår att det i förlängningen ökar<br />
<strong>säkerhet</strong>en.<br />
Anita Eckersand betonar att tydligheten – både när det gäller regelverket<br />
och ansvarsfördelningen – är något som kännetecknar <strong>Varbergs</strong> <strong>kommun</strong>s<br />
<strong>IT</strong>-<strong>säkerhet</strong>.<br />
– Alla vet vad som gäller, det finns en stor medvetenhet och folk har<br />
respekt för frågorna. Det kräver tid och hårt arbete och komma dithän, men<br />
vinsterna blir stora.<br />
<strong>IT</strong>-<strong>säkerhet</strong>shandbok<br />
I <strong>IT</strong>-<strong>säkerhet</strong>spolicyn listas vilka tillgångar som ska skyddas: information,<br />
datorer, system, <strong>kommun</strong>ikation, material, kapital, personal, lokaler och<br />
goodwill.<br />
Hotbilden utgörs av förlust, stöld, brand, bristande kvalitet, obehörig<br />
åtkomst, obehörig användning, avbrott, katastrof etcetera.<br />
Enligt policyn ska alla anställda i <strong>kommun</strong>en som berörs av <strong>IT</strong> vara medvetna<br />
om <strong>IT</strong>-<strong>säkerhet</strong>sfrågornas betydelse och ha kunskaper om lagar, policy<br />
och riktlinjer <strong>inom</strong> området.<br />
– Ytterst vilar <strong>IT</strong>-<strong>säkerhet</strong>spolicyn i hög grad på varje medarbetares ansvar.<br />
Men utbildning spelar också en stor roll – medarbetare kan utgöra ett<br />
hot mot <strong>säkerhet</strong>en genom att inte vara informerad om <strong>säkerhet</strong>sriskerna,<br />
eller för att regler och rutiner är ofullständiga eller saknas. Därför är det<br />
viktigt att <strong>säkerhet</strong>sfrågor lyfts fram och ges en naturlig plats i det dagliga<br />
arbetet.<br />
Som informationsstöd har <strong>Varbergs</strong> <strong>kommun</strong> bland annat en omfattande<br />
<strong>IT</strong>-<strong>säkerhet</strong>shandbok.<br />
– Även här har vi använt oss av material från KBM. Handboken är ett bra<br />
verktyg för både medarbetare och konsulter.
Översyn i skolorna<br />
Häromåret drabbades <strong>Varbergs</strong> <strong>kommun</strong> av ett strömförsörjningshaveri,<br />
som ledde till att servrarna låg nere i ungefär ett dygn. Händelsen berodde<br />
på ett mänskligt fel.<br />
I övrigt har dock <strong>kommun</strong>en varit förskonad från större <strong>IT</strong>-incidenter.<br />
– Det värsta som skulle kunna hända är att vår <strong>IT</strong>-infrastruktur drabbas<br />
på ett sådant sätt att all utgående <strong>kommun</strong>ikation stoppas. Då räcker inte<br />
reservkraften till. Men det här är ett scenario som våra systemägare har fått<br />
i uppgift att fundera över i samband med risk- och sårbarhetsanalyserna,<br />
säger Anita Eckersand.<br />
Kommunens <strong>IT</strong>-<strong>säkerhet</strong>sarbete går nu vidare. Bland annat kommer servrar<br />
och datorer i skolorna att ses över.<br />
– Det är ett område som vi inte har arbetat så mycket med tidigare. Men<br />
vårt första steg blir att hämta hem de servrar som i dag står ute på skolorna<br />
och placera dem i en mer säker miljö. Samtidigt ska eleverna få tunna klienter,<br />
som kommer att skötas av oss här på <strong>IT</strong>-Driften. P<br />
”Ytterst vilar <strong>IT</strong>-<br />
<strong>säkerhet</strong>spolicyn<br />
i hög grad på varje<br />
medarbetares an-<br />
svar. Medarbetare<br />
kan utgöra ett hot<br />
mot <strong>säkerhet</strong>en<br />
genom att inte<br />
vara informerad<br />
om <strong>säkerhet</strong>s-<br />
riskerna.”<br />
V A R B E R G S K O M M U N