Informationssikkerhed: Gå systematisk til værks

ISO 27001 er en international standard for informationssikkerhed, lidt ligesom Prince 2 er en standard for projektstyring. Og det giver rigtig god mening at lægge kommunens sikkerhedsarbejde ind i en standard, så man husker at komme hele vejen rundt. Det siger Daniel Hartfield-Traun, der er chefjurist og partner i virksomheden LegalTech Denmark, som tilbyder it-understøttende systemer til overholdelse af forskellige regelsæt og standarder som ISO27001 og GDPR.

"Danmark konkurrerer jo lidt med Estland i at være førende i offentlig digitalisering. Og god digitalisering giver alle parter store fordele. Men det indebærer jo også mange risikomomenter. Ikke at det var "ufarligt" at håndtere data på fysisk papir tidligere, det giver bare mange flere risici, når datahåndtering overgår til det digitale," siger Daniel.

Daniel nævner de efterhånden velkendte eksempler på, hvordan kriminelle individer og organisationer, men også fjendtligt sindede stater desværre kan se en fordel i at forstyrre og ødelægge data eller gøre dem utilgængelige, enten af økonomiske eller politiske grunde.

KL's kursus om informationssikkerhed afholdes i september

Lær at bruge ISO 27001-standarden som metode for arbejdet med informationssikkerhed i jeres kommune på KL's kursus i september 2022. Chefjurist og partner i LegalTech Denmark Daniel Hartfield-Traun er underviser på hver af disse og giver her blandt andet indblik i, hvorfor man skal arbejde med tre gennemgående målgrupper, når man implementerer sin informationssikkerhed.
Tilmelding til kurset er åben nu.

Kom hjem med mere

Til september 2022 afholder Daniel rundt i Danmark tre individuelle dage med kursus i informationssikkerhed, hvor han tager udgangspunkt i deltagernes egen virkelighed og udfordringer.

"Målet for disse kursusdage er, at man som deltager vil gå derfra med et meget tydeligere billede af, hvad informationssikkerhed er for ens egen kommune, samt hvad kommunens kerneværdier er: Hvad er det, som kommunen særligt skal og vil passe på. Vi gennemgår, hvordan vi kan understøtte kerneværdierne processuelt, teknisk og organisatorisk, og vi ser på, hvor det er, man er særligt sårbar og skal være ekstra opmærksom over for trusler af den ene og anden slags," siger Daniel.

Daniel nævner alt fra de helt jordnære trusler som eksempelvis e-mails med farlige links i, der udløser uheldige konsekvenser, hvis man klikker på dem. De situationer er folk efterhånden blevet opmærksomme på, at de skal undgå. Men der kan også være de mere udspekulerede trusler, som at ubudne gæster møder op i orange veste og beder om at få adgang til serverrummet, hvorefter de løber af sted med vigtige servere under armen. Sådanne trusler er også vigtige at kunne håndtere, når man arbejder med informationssikkerhed.

Hvad er informationssikkerhed?

"Helt overordnet og konceptuelt er informationssikkerhed den store ramme. Det omfatter al information, som er kritisk for virksomheden, uanset om det er personhenførbare oplysninger, eller det er tekniske tegninger, patenter med videre. I kommunal sammenhæng omfatter informationssikkerheden eksempelvis både oplysninger om, hvor mange og hvem der bor på kommunens bosteder og plejehjem for eksempel. Det skyldes, at antallet af beboere er relevant for kommunens økonomi, på samme vis som  oplysninger om de enkelte spiller ind i, hvilke ydelser de er berettiget til, og dermed også økonomien," siger Daniel.

Det praktiske arbejde med databeskyttelse og informationssikkerhed, er langt hen ad vejen den samme. Grundlæggende skal der etableres et verdensbillede, som man kan risikovurdere ud fra og efterfølgende risikovurdere på baggrund af. Forskellen ligger i, at informationssikkerhed har fokus på organisationens strategiske mål, og databeskyttelsen fokuserer på de registreredes grundlæggende rettigheder.

Arbejd med tre målgrupper for bedre informationssikkerhed

Når man skal samarbejde om at udvikle og implementere informationssikkerhed i ens kommune, er målgrupper vigtigt. Med andre ord: Hvem er det egentlig, man kommunikerer med? I en kommune vil det være relevant at have topledelsen, specialister og de øvrige medarbejdere som sine tre målgrupper, siger Daniel. Målgrupperne skal ikke interessere sig for det samme, heller ikke når det gælder informationssikkerhed.

1. Til topledelsen. "Fokus skal være på organisationens politik, strategi og økonomi. Håndbøger i informationssikkerhed kan sagtens fylde 70 sider, og det får du aldrig en topledelsen til at læse igennem. I stedet skal du engagere topledelsen i at forholde sig til, hvad organisationens primære værdier er, fx at leve op til valgløfter og levere de ydelser, der følger af serviceloven," siger Daniel.
2. Til specialister. "Specialisterne skal have specialistrelevant kommunikation, der relaterer sig til den tekniske opsætning af hardware og software, der understøtter topledelsens informationssikkerhedsmæssige beslutninger. Det kan eksempelvis være sikkerhedspolitikker vedrørende brugerrettighedsstyring," siger Daniel.
3. Til medarbejdere. "Så er der alle os andre, og her vil kommunikationen angående informationssikkerhed ofte have form af en 10 punkts huskeliste. For eksempel at man ikke må klikke på mystiske links i sine e-mails, at man skal låse sin computer, når man forlader sit skrivebord, og at man ikke bør sidde med skærmbilledet på sin arbejdscomputer frit synligt, for eksempel på cafe eller i toget," siger Daniel.

Læs mere og tilmeld jer

Dyk ned i det spændende informationsmateriale om KL's kursus og tilmeld jer her.

Find den dato og lokalitet, som passer dig, og tilmed dig én af disse kursusdage. Dagene afholdes som étdages kursusdage fra klokken 9 til 16 på hver sin dato i september 2022 i henholdsvis København, Kolding og Aalborg:

• Tirsdag den 13. september i KL-HUSET, Weidekampsgade 10, 2300 København S.
• Torsdag den 22. september i COMWELL i Kolding, Skovbrynet 1, 6000 Kolding.
• Torsdag den 29. september i COMWELL i Aalborg, Vesterbro 2, 9000 Aalborg
• Torsdag den 3. november i COMWELL i Kolding, Skovbrynet 1, 6000 Kolding.

På denne type kurser anbefaler vi, at flere kolleger af sted sammen for at forstærke udbyttet, når de nye indsigter fra kurset skal omsættes hjemme i kommunen.

Spørgsmål og kontakt

Har du spørgsmål, er du velkommen til at kontakte chefsekretær Anne Louise Corell (anlc.dk) eller vicekontorchef Jan Struwe Poulsen (jtp@kl.dk).