Säker digital utveckling i kommuner. Välfärdskonferens 2018

Transkript

1 Säker digital utveckling i kommuner Välfärdskonferens 2018

2 Digitala möjligheter skapar förväntningar Fungerande tjänster dygnet runt Korrekt och tillförlitlig information Rätt information till rätt person

3 Digitala samhällsstörningar

4 Digitalisering och informationssäkerhet i otakt

5 Nytta med systematiskt informationssäkerhetsarbete Förtroende hos kommuninvånarna Förtroende hos medarbetarna Ekonomi Effektivitet Motståndskraft Efterlevnad

6 Information i centrum

7 Informationsbingo Avtal Lönesamtal Kundregister Personallistor Krisberedskapsplan Journaler Offerter E-post Personalakter Mötesprotokoll Arkiv Anläggnings register Anhöriguppgifter Rehabplaner Utvärderingar Behörigheter Driftrutiner Löner Revisionsrapporter Fakturor Semesterlistor Verksamhetsplan Riskanalyser Systemkontrakt Diarium

8 I olika format och sammanhang. I persondatorer I samtal I smartphones och pekplattor På kontoret På webbplatser På resa På papper Hemma

9 Systematik genom enkla principer PDCA - ständiga förbättringar Planera Förbättra Genomföra Följa upp ISO & informationen i centrum - klassa informationen - riskbaserat - processer - verksamhetens behov

10 Som engagerad ledare DU VILL Veta hur organisationen ligger till och följa förbättringarna. Ta ansvar för riskerna. Ha medvetna medarbetare som vet vad som gäller. Ha kompetenta medarbetare. Inte riskera organisationens värde och värdighet. DU GÖR Tar reda på vilka informationssäkerhets-brister organisationen har (genom GAP-analys). Bestämmer risker som ska prioriteras. Fördelar resurser för åtgärderna. Uttrycker sin viljeinriktning i en policy som omsätts i rutiner och arbetssätt. Ger medarbetare tydliga roller och mandat med förutsättningar att arbeta långsiktigt. Fattar endast beslut med en riskanalys som underlag (agerar riskmedvetet).

11 Systematiskt informationssäkerhetsarbete MSB ställer krav, stödjer och samordnar

12 Fyra metodsteg Identifiera och analysera Utforma Använda Följa upp och förbättra

13 Metodstödets innehåll Att arbeta systematiskt med informationssäkerhet Vägledningar och verktyg Utbildningsmaterial och exempel Kunskapsbank med fördjupningar och komplement FAQ

14 E-utbildningen DISA Film Informationstext Frågebank Intyg

15 En bild av kommunernas informationssäkerhetsarbete av 10 kommuner arbetar inte systematiskt med informationssäkerhet. 4 av 10 kommuner saknar en utpekad funktion för informationssäkerhet. 6 av 10 kommuner anger att det inte finns kontinuitetsplaner framtagna för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen. 4 av 10 kommuner gör ingen riskanalys avseende informationssäkerhet.

16 MSB.s rekommendationer till kommunerna 1. Utse en funktion för informationssäkerhet. 2. Ta fram en analys av nuläget i kommunen. 3. Informera ledningen om hur nuläget ser ut. 4. Skapa en handlingsplan utifrån nuläget. 5. Klassa kommunens information. 6. Höj säkerhetsmedvetandet inom kommunen. 7. Ta fram informationssäkerhetsrelaterade krav som sedan används vid upphandlingar. 8. Gör uppföljningar.

17 Informationssäkerhetsnätverket Sveriges kommuner (KIS) Nätverket för personer med utpekat ansvar för informationssäkerhetsarbete inom kommunen Drygt 320 stycken deltagare fördelat på ca 180 kommuner Två nätverksträffar per år Deltagande i nätverket är kostnadsfritt Anmälan till nätverket görs till Leif Carlson@kil.se.

18 Digitalisering och informationssäkerhet i otakt

19 Som engagerad ledare DU VILL Veta hur organisationen ligger till och följa förbättringarna. Ta ansvar för riskerna. Ha medvetna medarbetare som vet vad som gäller. Ha kompetenta medarbetare. Inte riskera organisationens värde och värdighet. DU GÖR Tar reda på vilka informationssäkerhetsbrister organisationen har (genom GAP-analys). Bestämmer risker som ska prioriteras. Fördelar resurser för åtgärderna. Uttrycker sin viljeinriktning i en policy som omsätts i rutiner och arbetssätt. Ger medarbetare tydliga roller och mandat med förutsättningar att arbeta långsiktigt. Fattar endast beslut med en riskanalys som underlag (agerar riskmedvetet).

20 Tack!