I Säffle kommun har ett splittrat och personberoende arbetssätt ersatts av en långsiktig struktur för informationssäkerhet. Idag står Säffle rustat för att ta nästa steg inom cybersäkerhet och NIS2.
I södra Värmland ligger Säffle kommun med 15 000 invånare. Huvudorten är känd som Sveriges yngsta stad. Geografin präglar också kommunen på ett påtagligt sätt. Här är avstånden stora och resurserna ofta små. För tjänstemännen är det en praktisk realitet att ofta behöva axla flera roller. Kommunens begränsade storlek ökar behovet av struktur, istället för tvärtom.
Arbetet med informationssäkerhet belyser detta på ett träffande sätt. Struktur och nära samverkan har varit – och är – avgörande komponenter när kraven höjs. I Säffle har det varit en nödvändig förutsättning för att skapa överblick och lägga grunden för långsiktig framgång.
Excel och spridda dokument
Ibland är inte det första steget att lägga in en ny växel, utan att dra i handbromsen. Och det var precis vad som hände vid startskottet för det systematiska informationssäkerhetsarbetet i Säffle.
Personen som drog i handbromsen var Lotta Holm, verksamhetsutvecklare på kommunledningskontoret.
Vi behövde ett systemstöd för att samla allt. Att få ett systemstöd var avgörande för att kunna jobba strategiskt.
- Tanken var att allt skulle göras med Excel och spridda dokument. Men det stod klart för mig att vi behövde ett systemstöd för att samla allt. Annars hade det blivit separata dokument och mer av stuprör. Att få ett systemstöd var avgörande för att kunna jobba strategiskt, säger Lotta.
För Lotta stod det alltså snabbt tydligt att arbetet inte kunde byggas på lösa dokument och personberoende uppföljning. Att skapa struktur och ett långsiktigt arbetssätt krävde ett gemensamt systemstöd. Valet föll därför på Stratsys informationssäkerhetsmodul.
Lotta Holm, Verksamhetsutvecklare, Säffle kommun
Samarbete över kommungränsen
Lotta hade redan en central roll i Säffles utvecklingsarbete. I en mindre kommun, där många medarbetare delar ansvarsområden, blev hennes breda operativa insyn en styrka.
Sedan 2019 har hon lett och samordnat kommunens arbete med informationssäkerhet. På hennes bord låg allt från styrning och utbildning till incidenthantering och uppföljning.
Upprinnelsen till det systematiska arbetet var en gemensam samverkan mellan grannkommunerna Arvika, Eda och Årjäng. Kommunerna delade på funktionen för informationssäkerhet genom att rekrytera en gemensam informationssäkerhetssamordnare.
Verklig fart tog dock arbetet när en revision pekade på tydliga brister i kommunstyrelsens informationssäkerhetsarbete. Granskningen gav både stöd och riktning för nästa steg.
Arbetet går in i raketdrift
Nu växlade arbetet upp i intensitet. Kommunen gick över till projektform. Som Lotta själv beskriver det: raketdriften tog vid.
Det som följde var ett år där den grundläggande strukturen byggdes upp, med styrdokument, utbildningar, riskarbete och rutiner för incidenthantering. Arbetet samlades kring införandet av Stratsys informationssäkerhetsmodul, navet i uppbyggnaden av kommunens ledningssystem för informationssäkerhet.
Här tog också projektet Bygga LIS form. Ett förändringsarbete i syfte att bygga upp den grundläggande strukturen för informationssäkerhetsarbetet. Dataskydd och informationssäkerhet samlades i en gemensam organisation, samtidigt som styrdokument, utbildningar, riskarbete och incidentrutiner etablerades parallellt.
Kärnan i Säffles arbete blev införandet av Stratsys informationssäkerhetsmodul. Produkten användes som grund för att bygga kommunens ledningssystem för informationssäkerhet.
Vi utgick från Stratsys informationssäkerhetsmodul. Den blev grunden för hela strukturen och hur vi arbetar än idag.
- Hela vårt införande och hur vi byggde LIS utgick från Stratsys informationssäkerhetsmodul. Den blev grunden för hela strukturen och hur vi arbetar än idag. Det gör stor skillnad i praktiken, säger Lotta.
Tydlig styrmodell
En viktig aspekt handlade om att undvika att arbetet blev en tillfällig insats. Det behövde bli en del av Säffles ordinarie styrning. Ett beslut fattades därför om att gå över från projekt till förvaltning.
Istället för att börja om från noll inför NIS2 valde kommunen att utgå från den befintliga strukturen. Styrdokument, rutiner, mallar och systemstöd låg till grund för nästa utvecklingssteg. Fokus var att bygga vidare på det som redan fanns.
- Vi har många moduler i Stratsys, men eftersom allt följer samma struktur känner man igen sig. Det blir en röd tråd genom hela arbetet, även för sällananvändare. Det är en stor fördel att ha allt samlat, säger Lotta.
Med Stratsys som grund fick kommunen också en helt annan överblick i det löpande arbetet.
Riskmatriserna hjälper oss att tydligt visa för ledningen vilka risker som finns.
- Riskmatriserna hjälper oss att tydligt visa för ledningen vilka risker som finns om vi inte gör något, kontra om vi vidtar åtgärder. De har blivit ett konkret stöd för att visualisera risker, prioritera rätt åtgärder och skapa samsyn i organisationen. Samtidigt är överblicken guld värd för mig som samordnare, säger Lotta.
Mod, vilja och struktur
Säffle har en tydlig nulägesbild. Det ger en konkret grund för att prioritera nästa steg och fortsätta bygga vidare på den struktur som redan finns.
Strukturen och överblicken är värdefulla. Att snabbt kunna sammanställa från hela verksamheten hade varit mycket svårare utan Stratsys.
- För oss som mindre kommun är strukturen och överblicken är värdefull. Att snabbt kunna sammanställa från hela verksamheten hade varit mycket svårare utan Stratsys. Dessutom har stödet från Stratsys varit otroligt viktigt. De är snabba, flexibla och väldigt tillmötesgående. Vi kan bygga mycket själva, men vet att vi alltid får hjälp när vi behöver det. Det har gjort jättestor skillnad för oss, säger Lotta.
Kanske är det just där den viktigaste lärdomen finns. Informationssäkerhetsarbete blir aldrig färdigt. Det handlar om att steg för steg bygga en struktur som håller över tid, i takt med att nya krav och nya risker tillkommer.
Säffle har visat att även en mindre kommun med begränsade resurser kan skapa ett långsiktigt och systematiskt arbetssätt. Det mesta är möjligt så länge det finns mod att sätta igång, en vilja att bygga vidare – och en struktur som håller över tid.
Vill du veta mer om hur Stratsys kan hjälpa er organisation med informationssäkerhets-arbetet? Läs mer om våra produkter, eller kontakta oss så berättar vi gärna mer.
