V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som dessa har hög prioritet i Varbergs kommun, som ligger långt framme inom området IT-säkerhet. Vi har jobbat på bred front. Vår IT-säkerhetspolicy är beslutad av fullmäktige och har fått ett stort genomslag i hela organisationen, säger Anita Eckersand, IT-chef i. Sedan år 2000 har Anita Eckersand arbetat inom. Innan dess jobbade hon inom kriminalvården. Mycket av mitt säkerhetstänkande har jag fått därifrån. Jag är van vid att arbeta med struktur- och ansvarsfrågor, förklarar hon. I dag är hon chef för IT-Driften i, en avdelning med cirka 15 anställda. Anita Eckersands tjänst består av två delar. 75 procent av arbetstiden ägnar hon åt driftsansvaret, och 25 procent åt IT-strategi. Det är lite ovanligt att kombinera detta i en och samma tjänst, men jag tycker att det är en bra lösning. Det handlar ju om ämnen som har ett naturligt samband. Hon har själv ingen bakgrund som tekniker, utan betonar att hennes roll är att leda personalen och se till helheten. Min uppgift är inte att lösa alla tekniska problem. Det gör den duktiga personalen på IT-Driften, framhåller Anita Eckersand. Fakta om Kommunen ligger i Hallands län. Varberg Arealen är 874 kvadratkilometer och antalet invånare drygt 54 000 (2005). Utöver Varberg ingår tätorter som Bua, Träslövsläge, Tvååker och Veddige. Kommunen har cirka 4 300 anställda. Risk-/hotbild Varberg tillhör en av Sveriges tillväxtregioner. Kommunen är en viktig knutpunkt för godstrafiken genom motorväg, järnväg och hamn. Här finns också färjeförbindelse med Grenå i Danmark. IT-strategi och IT-säkerhetspolicy Hösten 2000 antog fullmäktige en övergripande ITstrategi för kommunen och de kommunala verksamheterna. Här ingick bland annat strategier för bredbandsutbyggnaden. Men kommunen insåg också att det behövdes ett komplement, i form av en IT-säkerhetspolicy. En sådan antogs av fullmäktige året därpå, hösten 2001.
Förtroendet för kommunens verksamhet tar lång tid att bygga upp, men kan raseras av en enskild incident. Därför måste säkerhet, kvalitet och integritet inte bara vara honnörsord utan också utgöra riktmärken till efterlevnad. Policyn är ett styrdokument som anger ledningens syn på IT-säkerhet, inriktning, mål och ansvar för IT-säkerhetsarbetet och hur målen ska uppnås, berättar Anita Eckersand, som är en av de personer som bidrog med synpunkter när policyn togs fram. Mer beroende av IT Av policyn framgår bland annat att målmedvetet satsar på en ökad användning av informationsteknik. Tekniken utvecklas snabbt och ger nya möjligheter, men satsningarna innebär samtidigt att kommunen blir mer och mer beroende av att IT-lösningarna fungerar. Kommunens invånare måste alltid känna sig övertygade om att kommunen hanterar information om sina kommuninvånare på ett korrekt sätt, är en av de formuleringar som ingår i policyn. En annan är denna: Förtroendet för kommunens verksamhet tar lång tid att bygga upp, men kan raseras av en enskild incident. Därför måste säkerhet, kvalitet och integritet inte bara vara honnörsord utan också utgöra riktmärken till efterlevnad. Tydlig ansvarsfördelning I policyn poängteras också att en hög IT-säkerhet förutsätter att det finns en tydlig ansvarsfördelning. I är det kommunstyrelsen som beslutar om säkerhetspolicyn och har det övergripande ansvaret för IT-säkerheten. Kommunstyrelsen och nämnderna är ytterst ansvariga för IT-säkerheten inom sitt respektive område. Kommundirektören ansvarar för att det finns aktuella riktlinjer och föreskrifter, medan IT-chefen ansvarar för regelverk, samordning och kontroll. Utöver detta har vi funktioner som vi kallar systemägare, systemförvaltare och lokala IT-säkerhetsombud. Alla är de viktiga delar av vår ansvarskedja, Förvaltningscheferna är systemägare Det är förvaltningscheferna som har rollen som systemägare, vilket innebär att de är ansvariga för det operativa IT-säkerhetsarbetet inom sin förvaltning. Förvaltningscheferna har ansvaret för att genomföra de övergripande risk- och sårbarhetsanalyserna på respektive förvaltning, och där ingår ITsäkerhet som en av delarna. Inom IT-säkerhetsområdet svarar förvaltningscheferna dessutom för informationskvaliteten och systemsäkerhetsplanen, plus att de ska vidta nödvändiga skyddsåtgärder och se till att personalen har rätt utbildning i systemsäkerhet, förklarar Anita Eckersand. M E D V I N D I S Ä K E R H E T S A R B E T E T
Till sin hjälp utser systemägaren en eller flera systemförvaltare, vilket är medarbetare som till exempel beställer uppgraderingarna av programvara. Systemägaren utser också ett lokalt IT-säkerhetsombud, som håller i utbildningar och gör uppföljningar av det lokala säkerhetsarbetet. Nätverk för IT-frågor IT-säkerhetsombuden fungerar i de allra flesta fall även som kontaktpersoner för oss på IT-Driften. Varannan månad, eller vid behov, samlar vi vårt nätverk med IT-kontaktpersoner från förvaltningarna. Då informerar vi om saker som är på gång, till exempel förändringar i lösenord och inloggningsrutiner, Mellan IT-Driften och förvaltningarna finns en uppdelning i vad som betraktas som IT-infrastruktur och vad som betraktas som verksamhetssystem. I infrastrukturen ingår till exempel nätverk, servrar och serviceapplikationer som behövs för att drifta verksamheten. Det är delar som vi på IT- Driften ansvarar för. Däremot ansvarar varje förvaltning för sina verksamhetssystem, även om vi står för vissa serviceåtgärder. Dialog med förvaltningarna Anita Eckersand påpekar att dessa båda delar dock behöver knytas samman, så att det bildas en helhet där IT-säkerheten står i centrum. Hon ger ett exempel: om Ekonomiska kontoret behöver ett nytt ekonomisystem finns IT-Driften med på ett hörn för att ställa relevanta frågor och för att kontrollera att systemet passar in i kommunens övergripande IT-miljö. Vi för hela tiden en dialog med förvaltningarna. Ibland kan det hända att vi får sänka våra ursprungskrav, kanske av ekonomiska skäl. Och ibland är det kanske förvaltningen som får förändra sina krav gentemot leverantörerna. Men hela tiden har vi BITS, den basnivå för IT-säkerhet som Krisberedskapsmyndigheten förespråkar, som utgångspunkt. Det har vi ett fullmäktigebeslut på, TIPS I SÄKERHETSARBETET Satsa på en IT-säkerhetspolicy som är beslutad av fullmäktige och spridd i hela organisationen. Se till att ansvarsfördelningen är tydlig. Använd KBM:s BITS, basnivå för IT-säkerhet, som utgångspunkt i arbetet. Sammanställ en prioriteringsordning för hela IT-driften, och gör beräkningar av vad driftstopp av olika system kostar. Ta fram en IT-säkerhetshandbok och satsa på utbildning av personalen. Inför lokala IT-säkerhetsombud i verksamheterna. Prislapp på driftstopp När förvaltningarna gör sina risk- och sårbarhetsanalyser kartlägger de bland annat vilka system som har hög sårbarhet och vilka som kan ligga nere för en viss period. Finns det manuella rutiner som kan tas i bruk om det uppstår störningar, och hur ser behovet av reservkraft ut? Det här är frågor som kan skilja sig mycket från förvaltning till förvaltning. Men det viktiga är att vi får fram verksamheternas prioritetsordningar. Då kan vi göra risk- och sårbarhetsanalyser för IT-infrastrukturen, och därmed få fram prioriteringar för hela IT-driften. V A R B E R G S K O M M U N
KONTAKT Telefon: 0340-880 00 www.varberg.se I leder bedömningarna även fram till en prislapp. Vi gör en uppskattning av vad det kostar att ha mejlsystemet stående i till exempel fyra timmar, eller i två dygn. Sedan är det politikernas sak att avgöra på vilken nivå vi ska ligga, förklarar Anita Eckersand. Alla vet vad som gäller Hon konstaterar att kunskaperna om IT-säkerhet har ökat väsentligt i kommunen de senaste åren. Det gäller på alla nivåer. Som exempel har den fysiska säkerheten med larm och lås förbättrats, antivirussystemen har utökats och mejlsystemet blivit avskilt från de övriga systemen. Ett annat exempel är att vi har ändrat en del inloggningsrutiner. Nu har alla anställda, även teknikerna, personliga behörigheter till systemen. Det har medfört en del merarbete, men alla förstår att det i förlängningen ökar säkerheten. Anita Eckersand betonar att tydligheten både när det gäller regelverket och ansvarsfördelningen är något som kännetecknar s IT-säkerhet. Alla vet vad som gäller, det finns en stor medvetenhet och folk har respekt för frågorna. Det kräver tid och hårt arbete och komma dithän, men vinsterna blir stora. IT-säkerhetshandbok I IT-säkerhetspolicyn listas vilka tillgångar som ska skyddas: information, datorer, system, kommunikation, material, kapital, personal, lokaler och goodwill. Hotbilden utgörs av förlust, stöld, brand, bristande kvalitet, obehörig åtkomst, obehörig användning, avbrott, katastrof etcetera. Enligt policyn ska alla anställda i kommunen som berörs av IT vara medvetna om IT-säkerhetsfrågornas betydelse och ha kunskaper om lagar, policy och riktlinjer inom området. Ytterst vilar IT-säkerhetspolicyn i hög grad på varje medarbetares ansvar. Men utbildning spelar också en stor roll medarbetare kan utgöra ett hot mot säkerheten genom att inte vara informerad om säkerhetsriskerna, eller för att regler och rutiner är ofullständiga eller saknas. Därför är det viktigt att säkerhetsfrågor lyfts fram och ges en naturlig plats i det dagliga arbetet. Som informationsstöd har bland annat en omfattande IT-säkerhetshandbok. Även här har vi använt oss av material från KBM. Handboken är ett bra verktyg för både medarbetare och konsulter. M E D V I N D I S Ä K E R H E T S A R B E T E T
Översyn i skolorna Häromåret drabbades av ett strömförsörjningshaveri, som ledde till att servrarna låg nere i ungefär ett dygn. Händelsen berodde på ett mänskligt fel. I övrigt har dock kommunen varit förskonad från större IT-incidenter. Det värsta som skulle kunna hända är att vår IT-infrastruktur drabbas på ett sådant sätt att all utgående kommunikation stoppas. Då räcker inte reservkraften till. Men det här är ett scenario som våra systemägare har fått i uppgift att fundera över i samband med risk- och sårbarhetsanalyserna, Kommunens IT-säkerhetsarbete går nu vidare. Bland annat kommer servrar och datorer i skolorna att ses över. Det är ett område som vi inte har arbetat så mycket med tidigare. Men vårt första steg blir att hämta hem de servrar som i dag står ute på skolorna och placera dem i en mer säker miljö. Samtidigt ska eleverna få tunna klienter, som kommer att skötas av oss här på IT-Driften. P Ytterst vilar ITsäkerhetspolicyn i hög grad på varje medarbetares ansvar. Medarbetare kan utgöra ett hot mot säkerheten genom att inte vara informerad om säkerhetsriskerna. V A R B E R G S K O M M U N