Störst behov ser man inom informationssäkerhet, där 73 procent menar att man skulle kunna göra mer än vad man gör i dag. Färre än hälften av de kartlagda verksamheterna hade en implementerad policy kring informationssäkerhet. Varför ser det ut såhär?
– Jag tror att det är en resursfråga, både i form av pengar och kompetens. Informationssäkerhet är inte en kommuns kärnverksamhet. Samtidigt bör frågan prioriteras och vara integrerad i all samhällsviktig planering och genomförande, säger Johan Samuelsson, informationssäkerhetsansvarig på Visma PubliTech.
Enligt Johan Samuelsson är ett sätt att öka informationssäkerheten att lägga ut ansvaret för sina system till en leverantör med ett dokumenterat ledningssystem för informationssäkerhet, för hela sin leverantörskedja. Även om en kommun kan lägga ut mycket av ansvaret av system måste de fortfarande ha en styrning för hur de hanterar informationssäkerhet; det vill säga en policy.
– En policy är inte allt, men den visar att det är något som ledningen står bakom och hjälper er att jobba strukturerat, säger han.
Genom att ha tydliga interna rutiner och följa en standard minskar risken att ni missar något viktigt. ISO 27001 är en populär standard för informationssäkerhet som hjälper organisationer att jobba mer strukturerat med sitt informationssäkerhetsarbete. Många kommuner jobbar med ramverket SKR KLASSA i arbetet med sina leverantörer. Ett annat tips är att följa informationssäkerhet.se som är MSB:s stöd för systematiskt arbete med informationssäkerhet.
– Det viktiga är att ni har riktlinjer och rutiner utifrån en riskbild, med en uppföljning och styrning som är förankrad i hela organisationen, uppifrån och ner. Den måste vara enkel att genomföra, kontrollera och efterleva. Följ upp och utbilda så att ni vet vad ni ska göra om en incident sker, säger Johan Samuelsson.
Vad är informationssäkerhet?
Informationssäkerhet handlar om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas.