Informationssäkerhet – en möjliggörare för att uppnå verksamhetens mål Rose-Mharie Åhlfeldt Institutionen för Informationsteknologi Högskolan Skövde
Vem är kommunen till för? Huvudaktör Medborgaren Övriga aktörer Kommunanställda Kommunbolag, länsstyrelser och företag och en mängd andra intressenter Kommunala ansvarsområden Vård och omsorg, skola, barnomsorg - förskola, socialtjänst, räddningstjänst, hälsa och miljö, plan och bygg, renhållning och avfall, vatten och avlopp, ordning och säkerhet m m. Lagar, förordningar och strategier Kommunlagen E-förvaltning Dataskyddsförordningen NIS-direktivet Lagar, förordningar och strategier Kommunlagen E-förvaltning GDPR NIS
Patientsäkerhet med bibehållen patientintegritet En god vård ska bland annat kännetecknas av att den är patientfokuserad, jämlik och säker. Den ska genomföras i samråd och med respekt för patientens självbestämmande och integritet. En delaktig patient kan lättare medverka till att målen med vård och behandling uppnås och att säkerhetsrisker kan förebyggas. Det ställer krav på att vårdgivare, verksamhetschefer och hälso- och sjukvårdspersonal tillämpar den lagstiftning som reglerar patientens ställning och att det finns ett ledningssystem för kvalitets- och patientsäkerhetsarbetet som också omfattar bemötande, information, delaktighet och kontinuitet (Socialstyrelsen, 2012)
2018-12-09
KLISTER-projektet
Informationssäkerhetsmodellen Verksamhetsmål Tillgänglighet Riktighet Konfidentialitet Spårbarhet Egenskaper Informationssäkerhet Säkerhetsåtgärder Teknisk säkerhet Administrativ säkerhet IT-säkerhet Fysisk säkerhet Formell Informell Datasäkerhet Kommunikationssäkerhet Extern Intern
Lägesbeskrivning?
“Nya” hot och risker Sociala medier Mobila enheter Molntjänster
En smart dag
Hotbilden förändras Motivation Tid Nyfikenhet/ Tekniskt intresse Stater – spionage Kriminell organisationer “Ekonomisk vinning” 1985 2016 Virus Spam Ransomware Spionprogram Fiskning Maskar Bots & Bot nätverk 1995 Tid Sårbarheter “Berömd” Swift-hacket mot centralbanken i Bangladesh, där förövaren kom över 81 miljoner dollar
Vad kan vi göra åt det?
Ett systematiskt informationssäkerhetsarbete – Ledningssystem för Informationssäkerhet - LIS Fastställa grundprinciper för ledning av verksamheten Skapa ordning och reda Skapa säker ansvarsfördelning Sätta fokus på analysarbetet Systematisera förbättringsarbetet Följa upp, utvärdera resultat, jämföra och värdera
Varför arbeta systematiskt med informationssäkerhet? Ger förutsättningar att öka kvaliteten i verksamheten - ordning och reda, ansvarsfördelning, förbättringsarbete Ny lagstiftning våren 2018 (GDPR) – ersätter personuppgiftslagen Krav på rapportering av incidenter (Datainspektionen och MSB) Utbytet av digital information och data mellan samhällsaktörer Ökar tilliten till kommunens förmåga att hantera skyddsvärd information på ett säkert sätt Underlättar införande av nya digitala tjänster, öppen data
... Och ger Verksamhetsnytta!!! Ekonomi Förtroende Effektivitet Efterlevnad Verksamhetsnytta Ett systematiskt informationssäkerhetsarbete ger organisationen fördelar på flera plan. Några övergripande områden där verksamhetsnytta kan uppnås är ekonomi, förtroende, effektivitet och efterlevnad En god informationssäkerhet innebär att informationssäkerheten är anpassad för verksamhetens förutsättningar och behov. Det innebär att organisationen kan få en bra säkerhetsekonomi och där nyttan överväger kostnaderna. Genom säker informationshantering kan omvärlden och medborgarnas förtroende för organisations arbete bibehållas och öka. Dessutom kan organisationen säkerställa att legala krav efterlevs och revisioner klaras bättre. Det kan gälla exempelvis skydd av personuppgifter i enlighet med gällande lagar och krav på internkontroll. Ledningen får möjlighet att styra och följa upp informationssäkerhetsarbetet så att de kan bevaka att säkerheten är effektiv och ändamålsenlig. Ett systematiskt informationssäkerhetsarbete innebär även att verksamheten har ett betydligt starkare skydd att stå emot de hot med dess konsekvenser som den kan komma att utsättas för i sin dagliga verksamhet.
Ledningssystem för Informationssäkerhet (LIS) VAD ska göras HUR kan det göras
Anpassning av standarder SS-ISO/IEC 27001/27002 Metodstöd Informationssäkerhet.se Bransch/ Sektor Internationellt VAD? Nationellt HUR? Regionalt, kommunalt, Organisation ÄNNU MER HUR?
Verksamhetsanalys (Kravställning) Uppdelning av ett målinriktat kontinuerligt arbete i dess beståndsdelar och noggrant undersöka dess innehåll utifrån ett givet perspektiv. Kartläggning – nuläget Karta över verksamhetens arbetsprocesser och dess resurser Analys Ta på “undersökningsglasögonen” Analysera – noggrant undersöka Vad gör vi? Varför? Hur? Till vilken nytta? Gagnar det vårt mål? Ger det önskat resultat? Alltid utifrån ett perspektiv – övergripande - riktat
Säkerhet är ingen extra pålaga 2018-12-09 Säkerhet är ingen extra pålaga Säkerhet är en normal del av verksamheten