Säkerheten får klass
Informationsklassning – en nyckel när Region Gotland ser över informationssäkerheten.
– Det är grunden för att kunna bygga ett fungerande system, säger Johan Kallum, säkerhetschef/informationssäkerhetschef.
Det pratades om klassning av information, men ingen gjorde det. När it-arkitekten sa att det behövde arbetas med arkitekturen för 2020 blev klassningen prioriterad.
– Med informationsklassning och riskanalys som grund ger man it-avdelningen hjälp att avgöra vilka kontrollorgan som behövs.
Arbetet på Gotland ska vara i mål 2016 och personalen börjar förstå vitsen med att klassa information.
Det började 2013. Externa revisorer påpekade att det behövdes ett ledningssystem för informationssäkerhet (LIS). Och det var då ledningen började lyssna, konstaterar Johan Kallum.
– Vi hade en låst datamiljö. Samtidigt hade alla smarta telefoner, plattorna hade kommit. Och de var inte låsta. Det blev en ologisk miljö.
Gotland hade policy och riktlinjer, men de gav inget stöd för informationens skyddsvärde.
– Det saknades strukturerad form att översätta det till faktiskt informationssäkerhetsarbete. Det fick inget genomslag i organisationen och då kändes det som bortkastad tid.
Slutsatsen blev att man hade en stor lagringsplats där man slängde ner allt i en stor röra. Det ledde till klassningsarbete och att finna systemägare, ansvariga för respektive information.
– För vissa huvudsystem måste vi göra riskanalys och informationsklassning. Men det mesta är så enkelt att systemägarna, som har en central roll, kan göra det på egen hand.
It-avdelningen har en kontrollkatalog med ett 50-tal kontroller. Den matchas mot informationsklassningen och gör att informationen får skydd i paritet med sitt skyddsvärde.
– Skyddsvärde är mer än säkerhet, det beskrivs av fyra kravområden: konfidentialitet, riktighet, tillgänglighet och spårbarhet. Tittar man på skyddsvärdet först, då känns det bra i magen från början.
Men informationssäkerheten hänger också på användarna, personalen. Tillgången till information delades in i fyra zoner: öppen, kundyta, betrodd och begränsad
I den öppna zonen finns information som exempelvis kan nås via hemsidan. Kundytan kan vara öppen för kommuninvånarna.
– Vi är till för kommuninvånarna och ska ha full transparens. Så länge vi har säkerhetsklassat vårt material kan vem som helst söka i det.
I den betrodda ytan kan myndigheter ges särskild tillgång till material.
– Skolverket kan exempelvis behöva tillgång till betyg. Då ser jag inga problem att skapa genvägar för dem så länge vi har spårbarhet.
Den begränsade zonen är kommunens kassavalv.
– Det som ingen har att göra med, våra hemligheter. De är inte många men vi har våra guldägg.
Med indelningen blev säkerhetsarbetet begripligt, lättare för systemägarna att klassa sin information.
– Det ger också bra grund för systemupphandlingar, PSI-direktivet (Public Sector Information) kan förverkligas och automatiseras. Och samverkan underlättas. Vet vi vad Skolverket vill komma åt är det inget stort jobb att lösa det.
Johan Kallum beskriver att kunskapen om informationssäkerhet bland de 6 000 anställda var generellt låg. Intresset var på samma nivå, det berör inte mig. Men med zonindelningen som förklaring schaktades skyttevärnen bort.
Alla anställda får ett två timmars introduktionsprogram och ska utbildas kontinuerligt. Genomgången har hållits verklighetsnära.
– Vi nämnde ordet informationssäkerhet först efter en och en halv timme. Personalen har fått en högre grad av medvetenhet. Kan vi få in att de tänker lite informationssäkerhet, då kommer vi spara en massa jobb. Problemet i dag är bristen på förståelse för skyddsvärdet.
Johan Kallum konstaterar också att ledningen numera ser informationssäkerhetens strategiska betydelse.
Fram till slutmålet återstår en hel del arbete med kontinuitetsplanering, ta fram uppföljningsmodeller, rikta utbildning till systemägare och chefer.
– Det finns förutsättningar att ledningssystemet för informationssäkerhet inte bara blir en pappersprodukt, utan får praktisk och relevant betydelse i organisationen.