Varbergs kommun föregångare inom IT-säkerhet

V A R B E R G S K O M M U N
Varbergs kommun
föregångare inom IT-säkerhet
av lena lidberg
Vilka är kommunens viktigaste IT-system? Och hur
länge kan systemen ligga nere innan det uppstår
kaos i verksamheterna?
Frågor som dessa har hög prioritet i Varbergs
kommun, som ligger långt framme inom området
IT-säkerhet.
– Vi har jobbat på bred front. Vår IT-säkerhetspolicy
är beslutad av fullmäktige och har fått ett
stort genomslag i hela organisationen, säger Anita
Eckersand, IT-chef i Varbergs kommun.
Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.
Innan dess jobbade hon inom kriminalvården.
– Mycket av mitt säkerhetstänkande har jag fått därifrån. Jag är van
vid att arbeta med struktur- och ansvarsfrågor, förklarar hon.
I dag är hon chef för IT-Driften i Varbergs kommun, en avdelning med
cirka 15 anställda.
Anita Eckersands tjänst består av två delar. 75 procent av arbetstiden
ägnar hon åt driftsansvaret, och 25 procent åt IT-strategi.
– Det är lite ovanligt att kombinera detta i en och samma tjänst, men
jag tycker att det är en bra lösning. Det handlar ju om ämnen som har
ett naturligt samband.
Hon har själv ingen bakgrund som tekniker, utan betonar att hennes
roll är att leda personalen och se till helheten.
– Min uppgift är inte att lösa alla tekniska problem. Det gör den duktiga
personalen på IT-Driften, framhåller Anita Eckersand.
IT-strategi och IT-säkerhetspolicy
Hösten 2000 antog Varbergs kommunfullmäktige en övergripande ITstrategi
för kommunen och de kommunala verksamheterna. Här ingick
bland annat strategier för bredbandsutbyggnaden.
Men kommunen insåg också att det behövdes ett komplement, i form av
en IT-säkerhetspolicy. En sådan antogs av fullmäktige året därpå, hösten 2001.
Fakta om
Varbergs kommun
Kommunen ligger i Hallands län.
Varberg
Arealen är 874 kvadratkilometer och
antalet invånare drygt 54 000 (2005).
Utöver Varberg ingår tätorter som Bua,
Träslövsläge, Tvååker och Veddige.
Kommunen har cirka 4 300 anställda.
Risk-/hotbild
Varberg tillhör en av Sveriges tillväxt-
regioner. Kommunen är en viktig knut-
punkt för godstrafiken genom motorväg,
järnväg och hamn. Här finns också
färjeförbindelse med Grenå i Danmark.

”Förtroendet för
kommunens verk-
samhet tar lång
tid att bygga upp,
men kan raseras
av en enskild inci-
dent. Därför måste
säkerhet, kvalitet
och integritet inte
bara vara honnörs-
ord utan också
utgöra riktmärken
till efterlevnad.”
M E D V I N D I S Ä K E R H E T S A R B E T E T
– Policyn är ett styrdokument som anger ledningens syn på IT-säkerhet,
inriktning, mål och ansvar för IT-säkerhetsarbetet och hur målen ska
uppnås, berättar Anita Eckersand, som är en av de personer som bidrog med
synpunkter när policyn togs fram.
Mer beroende av IT
Av policyn framgår bland annat att Varbergs kommun målmedvetet satsar
på en ökad användning av informationsteknik. Tekniken utvecklas snabbt
och ger nya möjligheter, men satsningarna innebär samtidigt att kommunen
blir mer och mer beroende av att IT-lösningarna fungerar.
”Kommunens invånare måste alltid känna sig övertygade om att kommunen
hanterar information om sina kommuninvånare på ett korrekt sätt”,
är en av de formuleringar som ingår i policyn.
En annan är denna: ”Förtroendet för kommunens verksamhet tar lång
tid att bygga upp, men kan raseras av en enskild incident. Därför måste
säkerhet, kvalitet och integritet inte bara vara honnörsord utan också utgöra
riktmärken till efterlevnad.”
Tydlig ansvarsfördelning
I policyn poängteras också att en hög IT-säkerhet förutsätter att det finns en
tydlig ansvarsfördelning.
I Varbergs kommun är det kommunstyrelsen som beslutar om säkerhetspolicyn
och har det övergripande ansvaret för IT-säkerheten. Kommunstyrelsen
och nämnderna är ytterst ansvariga för IT-säkerheten inom sitt respektive
område.
Kommundirektören ansvarar för att det finns aktuella riktlinjer och föreskrifter,
medan IT-chefen ansvarar för regelverk, samordning och kontroll.
– Utöver detta har vi funktioner som vi kallar systemägare, systemförvaltare
och lokala IT-säkerhetsombud. Alla är de viktiga delar av vår ansvarskedja,
säger Anita Eckersand.
Förvaltningscheferna är systemägare
Det är förvaltningscheferna som har rollen som systemägare, vilket innebär
att de är ansvariga för det operativa IT-säkerhetsarbetet inom sin förvaltning.
– Förvaltningscheferna har ansvaret för att genomföra de övergripande
risk- och sårbarhetsanalyserna på respektive förvaltning, och där ingår ITsäkerhet
som en av delarna. Inom IT-säkerhetsområdet svarar förvaltningscheferna
dessutom för informationskvaliteten och systemsäkerhetsplanen,
plus att de ska vidta nödvändiga skyddsåtgärder och se till att personalen
har rätt utbildning i systemsäkerhet, förklarar Anita Eckersand.

Till sin hjälp utser systemägaren en eller flera systemförvaltare, vilket är
medarbetare som till exempel beställer uppgraderingarna av programvara.
Systemägaren utser också ett lokalt IT-säkerhetsombud, som håller i
utbildningar och gör uppföljningar av det lokala säkerhetsarbetet.
Nätverk för IT-frågor
– IT-säkerhetsombuden fungerar i de allra flesta fall även som kontaktpersoner
för oss på IT-Driften. Varannan månad, eller vid behov, samlar vi vårt
nätverk med IT-kontaktpersoner från förvaltningarna. Då informerar vi om
saker som är på gång, till exempel förändringar i lösenord och inloggningsrutiner,
säger Anita Eckersand.
Mellan IT-Driften och förvaltningarna finns en uppdelning i vad som betraktas
som IT-infrastruktur och vad som betraktas som verksamhetssystem.
– I infrastrukturen ingår till exempel nätverk, servrar och serviceapplikationer
som behövs för att drifta verksamheten. Det är delar som vi på IT-
Driften ansvarar för. Däremot ansvarar varje förvaltning för sina verksamhetssystem,
även om vi står för vissa serviceåtgärder.
Dialog med förvaltningarna
Anita Eckersand påpekar att dessa båda delar dock behöver knytas samman,
så att det bildas en helhet där IT-säkerheten står i centrum.
Hon ger ett exempel: om Ekonomiska kontoret behöver ett nytt ekonomisystem
finns IT-Driften med på ett hörn för att ställa relevanta frågor och för
att kontrollera att systemet passar in i kommunens övergripande IT-miljö.
– Vi för hela tiden en dialog med förvaltningarna. Ibland kan det hända
att vi får sänka våra ursprungskrav, kanske av ekonomiska skäl. Och ibland
är det kanske förvaltningen som får förändra sina krav gentemot leverantörerna.
Men hela tiden har vi BITS, den basnivå för IT-säkerhet som Krisberedskapsmyndigheten
förespråkar, som utgångspunkt. Det har vi ett
fullmäktigebeslut på, säger Anita Eckersand.
Prislapp på driftstopp
När förvaltningarna gör sina risk- och sårbarhetsanalyser kartlägger de bland
annat vilka system som har hög sårbarhet och vilka som kan ligga nere för
en viss period. Finns det manuella rutiner som kan tas i bruk om det uppstår
störningar, och hur ser behovet av reservkraft ut?
– Det här är frågor som kan skilja sig mycket från förvaltning till förvaltning.
Men det viktiga är att vi får fram verksamheternas prioritetsordningar.
Då kan vi göra risk- och sårbarhetsanalyser för IT-infrastrukturen, och därmed
få fram prioriteringar för hela IT-driften.
TIPS
I SÄKERHETSARBETET
• Satsa på en IT-säkerhetspolicy som
är beslutad av fullmäktige och
spridd i hela organisationen.
• Se till att ansvarsfördelningen är
tydlig.
• Använd KBM:s BITS, basnivå för
IT-säkerhet, som utgångspunkt
i arbetet.
• Sammanställ en prioriteringsord-
ning för hela IT-driften, och gör
beräkningar av vad driftstopp av
olika system kostar.
• Ta fram en IT-säkerhetshandbok
och satsa på utbildning av perso-
nalen.
• Inför lokala IT-säkerhetsombud
i verksamheterna.
V A R B E R G S K O M M U N

KONTAKT
Varbergs kommun
Telefon: 0340-880 00
www.varberg.se
M E D V I N D I S Ä K E R H E T S A R B E T E T
I Varbergs kommun leder bedömningarna även fram till en prislapp.
– Vi gör en uppskattning av vad det kostar att ha mejlsystemet stående
i till exempel fyra timmar, eller i två dygn. Sedan är det politikernas sak att
avgöra på vilken nivå vi ska ligga, förklarar Anita Eckersand.
”Alla vet vad som gäller”
Hon konstaterar att kunskaperna om IT-säkerhet har ökat väsentligt i kommunen
de senaste åren. Det gäller på alla nivåer.
Som exempel har den fysiska säkerheten med larm och lås förbättrats,
antivirussystemen har utökats och mejlsystemet blivit avskilt från de övriga
systemen.
– Ett annat exempel är att vi har ändrat en del inloggningsrutiner. Nu har
alla anställda, även teknikerna, personliga behörigheter till systemen. Det
har medfört en del merarbete, men alla förstår att det i förlängningen ökar
säkerheten.
Anita Eckersand betonar att tydligheten – både när det gäller regelverket
och ansvarsfördelningen – är något som kännetecknar Varbergs kommuns
IT-säkerhet.
– Alla vet vad som gäller, det finns en stor medvetenhet och folk har
respekt för frågorna. Det kräver tid och hårt arbete och komma dithän, men
vinsterna blir stora.
IT-säkerhetshandbok
I IT-säkerhetspolicyn listas vilka tillgångar som ska skyddas: information,
datorer, system, kommunikation, material, kapital, personal, lokaler och
goodwill.
Hotbilden utgörs av förlust, stöld, brand, bristande kvalitet, obehörig
åtkomst, obehörig användning, avbrott, katastrof etcetera.
Enligt policyn ska alla anställda i kommunen som berörs av IT vara medvetna
om IT-säkerhetsfrågornas betydelse och ha kunskaper om lagar, policy
och riktlinjer inom området.
– Ytterst vilar IT-säkerhetspolicyn i hög grad på varje medarbetares ansvar.
Men utbildning spelar också en stor roll – medarbetare kan utgöra ett
hot mot säkerheten genom att inte vara informerad om säkerhetsriskerna,
eller för att regler och rutiner är ofullständiga eller saknas. Därför är det
viktigt att säkerhetsfrågor lyfts fram och ges en naturlig plats i det dagliga
arbetet.
Som informationsstöd har Varbergs kommun bland annat en omfattande
IT-säkerhetshandbok.
– Även här har vi använt oss av material från KBM. Handboken är ett bra
verktyg för både medarbetare och konsulter.

Översyn i skolorna
Häromåret drabbades Varbergs kommun av ett strömförsörjningshaveri,
som ledde till att servrarna låg nere i ungefär ett dygn. Händelsen berodde
på ett mänskligt fel.
I övrigt har dock kommunen varit förskonad från större IT-incidenter.
– Det värsta som skulle kunna hända är att vår IT-infrastruktur drabbas
på ett sådant sätt att all utgående kommunikation stoppas. Då räcker inte
reservkraften till. Men det här är ett scenario som våra systemägare har fått
i uppgift att fundera över i samband med risk- och sårbarhetsanalyserna,
säger Anita Eckersand.
Kommunens IT-säkerhetsarbete går nu vidare. Bland annat kommer servrar
och datorer i skolorna att ses över.
– Det är ett område som vi inte har arbetat så mycket med tidigare. Men
vårt första steg blir att hämta hem de servrar som i dag står ute på skolorna
och placera dem i en mer säker miljö. Samtidigt ska eleverna få tunna klienter,
som kommer att skötas av oss här på IT-Driften. P
”Ytterst vilar IT-
säkerhetspolicyn
i hög grad på varje
medarbetares an-
svar. Medarbetare
kan utgöra ett hot
mot säkerheten
genom att inte
vara informerad
om säkerhets-
riskerna.”
V A R B E R G S K O M M U N