I Säffle kommune har en fragmentert og personavhengig arbeidsmåte blitt erstattet av en langsiktig struktur for informasjonssikkerhet. I dag står Säffle godt rustet til å ta neste steg innen cybersikkerhet og NIS2.
I sørlige Värmland ligger Säffle kommune med 15 000 innbyggere. Hovedstaden er kjent som Sveriges yngste by. Geografien preger også kommunen på en tydelig måte. Her er avstandene store og ressursene ofte små. For administrasjonen er det en praktisk realitet at man ofte må fylle flere roller. Kommunens begrensede størrelse øker behovet for struktur, snarere enn det motsatte.
Arbeidet med informasjonssikkerhet illustrerer dette på en treffende måte. Struktur og tett samarbeid har vært, og er, avgjørende komponenter når kravene skjerpes. I Säffle har dette vært en nødvendig forutsetning for å skape oversikt og legge grunnlaget for langsiktig suksess.
Excel og spredte dokumenter
Noen ganger handler ikke det første steget om å sette opp farten, men om å trekke i håndbremsen. Og det var nettopp det som skjedde da det systematiske arbeidet med informasjonssikkerhet startet i Säffle.
Personen som trakk i håndbremsen, var Lotta Holm, virksomhetsutvikler ved kommunedirektørens kontor.
Vi trengte systemstøtte for å samle alt. Å få på plass systemstøtte var avgjørende for å kunne jobbe strategisk.
– Tanken var at alt skulle gjøres i Excel og spredte dokumenter. Men det ble tydelig for meg at vi trengte systemstøtte for å samle alt. Ellers ville det blitt separate dokumenter og mer silotenkning. Å få på plass systemstøtte var avgjørende for å kunne jobbe strategisk, sier Lotta.
For Lotta ble det altså raskt klart at arbeidet ikke kunne bygges på løse dokumenter og personavhengig oppfølging. Å skape struktur og en langsiktig arbeidsmetodikk krevde felles systemstøtte. Valget falt derfor på Stratsys sin modul for informasjonssikkerhet.
Lotta Holm, Virksomhetsutvikler, Säffle kommune
Samarbeid på tvers av kommunegrensen
Lotta hadde allerede en sentral rolle i utviklingsarbeidet i Säffle. I en mindre kommune, der mange medarbeidere deler ansvarsområder, ble hennes brede operative innsikt en styrke.
Siden 2019 har hun ledet og samordnet kommunens arbeid med informasjonssikkerhet. På hennes bord lå alt fra styring og opplæring til hendelseshåndtering og oppfølging.
Utgangspunktet for det systematiske arbeidet var et samarbeid mellom nabokommunene Arvika, Eda og Årjäng. Kommunene delte på funksjonen for informasjonssikkerhet ved å rekruttere en felles koordinator for informasjonssikkerhet.
Arbeidet skjøt imidlertid virkelig fart da en revisjon pekte på tydelige mangler i kommunestyrets arbeid med informasjonssikkerhet. Gjennomgangen ga både støtte og retning for neste steg.
Arbeidet går over i rakettfart
Nå ble arbeidet intensivert. Kommunen gikk over til prosjektform. Som Lotta selv beskriver det: rakettfarten tok over.
Det som fulgte, var et år der den grunnleggende strukturen ble bygget opp, med styringsdokumenter, opplæring, risikohåndtering og rutiner for hendelseshåndtering. Arbeidet ble samlet rundt innføringen av Stratsys sin modul for informasjonssikkerhet, basert på oppbyggingen av kommunens ledelsessystem for informasjonssikkerhet.
Her tok også prosjektet Bygge LIS form. Et endringsarbeid med mål om å bygge opp den grunnleggende strukturen for informasjonssikkerhetsarbeidet. Personvern og informasjonssikkerhet ble samlet i én felles organisasjon, samtidig som styringsdokumenter, opplæring, risikohåndtering og hendelsesrutiner ble etablert parallelt.
Kjernen i Säffles arbeid ble innføringen av Stratsys sin modul for informasjonssikkerhet. Produktet ble brukt som grunnlag for å bygge kommunens ledelsessystem for informasjonssikkerhet.
Vi tok utgangspunkt i Stratsys sin modul for informasjonssikkerhet. Den ble grunnlaget for hele strukturen og for hvordan vi jobber den dag i dag.
– Hele innføringen vår, og hvordan vi bygget LIS, tok utgangspunkt i Stratsys sin modul for informasjonssikkerhet. Den ble grunnlaget for hele strukturen og for hvordan vi jobber den dag i dag. Det gjør stor forskjell i praksis, sier Lotta.
Tydelig styringsmodell
Et viktig aspekt handlet om å unngå at arbeidet ble en midlertidig innsats. Det måtte bli en del av Säffles ordinære styring. Det ble derfor besluttet å gå fra prosjekt til forvaltning.
I stedet for å starte fra null foran NIS2 valgte kommunen å ta utgangspunkt i den eksisterende strukturen. Styringsdokumenter, rutiner, maler og systemstøtte lå til grunn for neste utviklingssteg. Fokuset var å bygge videre på det som allerede fantes.
– Vi har mange moduler i Stratsys, men siden alt følger samme struktur, kjenner man seg igjen. Det skaper en rød tråd gjennom hele arbeidet – også for de som bruker systemet sjelden. Det er en stor fordel å ha alt samlet, forteller Lotta.
Med Stratsys som grunnlag fikk kommunen også en helt annen oversikt i det løpende arbeidet.
Risikomatrisene hjelper oss med å tydelig vise ledelsen hvilke risikoer som finnes.
– Risikomatrisene hjelper oss med å tydelig vise ledelsen hvilke risikoer som finnes hvis vi ikke gjør noe, sammenlignet med om vi iverksetter tiltak. De har blitt en konkret støtte for å visualisere risiko, prioritere riktige tiltak og skape felles forståelse i organisasjonen. Samtidig er oversikten gull verdt for meg som koordinator, sier Lotta.
Mot, vilje og struktur
Säffle har et tydelig bilde av nåsituasjonen. Det gir et konkret grunnlag for å prioritere neste steg og fortsette å bygge videre på strukturen som allerede finnes.
Strukturen og oversikten er verdifulle. Å raskt kunne sammenstille informasjon fra hele virksomheten ville vært mye vanskeligere uten Stratsys.
– For oss som mindre kommune er strukturen og oversikten verdifull. Å raskt kunne sammenstille informasjon fra hele virksomheten ville vært mye vanskeligere uten Stratsys. I tillegg har støtten fra Stratsys vært utrolig viktig. De er raske, fleksible og svært imøtekommende. Vi kan bygge mye selv, men vet at vi alltid får hjelp når vi trenger det. Det har gjort en enorm forskjell for oss, sier Lotta.
Kanskje er det nettopp her den viktigste lærdommen ligger. Arbeidet med informasjonssikkerhet blir aldri ferdig. Det handler om å bygge en struktur steg for steg som holder over tid, i takt med at nye krav og nye risikoer kommer til.
Säffle har vist at også en mindre kommune med begrensede ressurser kan skape en langsiktig og systematisk arbeidsmetodikk. Det meste er mulig så lenge det finnes mot til å komme i gang, vilje til å bygge videre – og en struktur som holder over tid.
Du kan lese mer om Stratsys sitt produkt for Informasjonssikkerhet og Databeskyttelse her.
