Syr ihop säkerhetsfrågor med kontinuitetshantering
Några kommuner i Värmland har valt att använda kontinuitetshantering som metod både inom krisberedskap, säkerhetsskydd och informationssäkerhet. – Vi genar lite i kurvorna men får med alla perspektiven, säger Ida Andersson, säkerhetssamordnare i Arvika, Eda, Säffle och Årjängs kommuner.
Informationssäkerhet är en relativt ny uppgift för kommunerna i fråga. När en informationssäkerhetssamordnare anställdes 2019, placerades denna tillsammans med säkerhetssamordnarna på Räddningstjänsten i Arvika för att de skulle kunna arbeta tillsammans.
Ida Andersson är funktionsansvarig säkerhetssamordnare och säkerhetsskyddschef i de fyra kommunerna. Hon menar att små kommuner i regel behöver samverka för att uppnå kvalitet. Ett civilrättsligt samverkansavtal mellan kommunerna ligger till grund för den gemensamma säkerhetssamordningen.
– Genom att koppla ihop arbetet med kontinuitetshantering och informationssäkerhet sparar vi tid och resurser. Ett annat plus är att verksamheterna förstår vad vi pratar om. Sedan plockar man det man behöver till sitt arbete. Alla som dyker upp på våra kontinuitets-workshopar vet att de får en åtgärdslista med sig tillbaka.
Arbetssättet växte fram när kommunerna ställde sig frågan "vad är det vi ska skydda för något?". Att arbeta med LIS, ledningssystem för informationssäkerhet, beskriver Ida som omfattande och resurskrävande.
– Målet är att upprätthålla och säkerställa samhällsviktig verksamhet. Information är en del av verksamheten, därför har vi valt att använda kontinuitetshantering som metod både inom krisberedskapen, informationssäkerheten och säkerhetsskyddet. Informationssäkerhet handlar inte bara om IT utan också om människor och hur en verksamhet fungerar, säger Ida.
I arbetet med informationssäkerhet finns vissa krav ställda som till exempel handlar om det fysiska skyddet eller på vilket sätt man ska skydda sin information. De kraven tar de med sig in i kontinuitetshanteringen, vilket underlättar arbetet när åtgärder ska genomföras.
Ett exempel på hur arbetet med kontinuitetshantering och informationssäkerhet kopplats ihop är när EU-direktivet NIS (säkerhet för nätverk och informationssystem) genomfördes i Sverige 2018. En samhällsviktig verksamhet som berördes var vattenverket i Arvika.
– Vi hade redan gjort en kontinuitetshantering på vattenverket, alltså kartlagt och analyserat. Istället för att tillämpa LIS, och kartlägga och analysera igen, tog vi kontinuitetsanalysen och la på några extra frågor och såg till att få med informationsbärarna, som är en kritisk resurs. Resultatet blev en åtgärdslista som inte bara skyddar informationen på vattenverket, utan också verksamheten som bedrivs där.
Ida beskriver det som att gena lite i kurvorna, men att det fungerar för dem.
– Det handlar om att våga testa, utvärdera, justera och komplettera med vissa perspektiv.
Carl Önne, som jobbar med informations- och cybersäkerhetsfrågor på MSB, tycker att de fyra kommunerna ovan har löst det på ett bra sätt utifrån sina förutsättningar.
– Många regler och standarder är framtagna utifrån ett visst perspektiv. Det man har gjort i Arvika med flera kommuner är en bra approach, genom att sy ihop de olika perspektiven på ett bra sätt. På ett annat ställe hade man kanske utgått från informationssäkerhet och sedan tagit in kontinuitetshantering i det perspektivet. Det beror på vad man är bekväm med, så länge arbetet görs.