CISO:n som tar Umeå till proaktiv säkerhet

Umeå Kommun Infosäkerhet

Beatrice Fossmo, CISO i Umeå kommun, strävar efter ett systematiskt informationssäkerhetsarbete i kommunen. Bort ska det reaktiva ad hoc-tänket. För att lyckas satsas det på bland annat ledningssystem och utbildningar för att öka medvetenheten.

I Beatrice Fossmos roll som Chief Information Security Officer, CISO, samordnar, guidar och driver hon det övergripande informationssäkerhetsarbetet i kommunen.

Jag hjälper kommunens verksamheter att bland annat förstå våra metoder och modeller för riskanalys. Jag ger råd och stöd och ser över hur verksamheter använder metoderna, går igenom deras resultat och bedömer vad de bör fokusera mer på. Det gör jag bland annat tillsammans med vårt dataskyddsombud och personuppgiftskoordinatorer.

Hon har varit i rollen i fyra år och ett problem är att medvetenheten på sina håll fortfarande är relativt låg, många förstår inte fullt ut vad informationssäkerhet handlar om.

Det finns fortfarande ett reaktivt ad hoc-tänk kring informationssäkerhet, att det är något man reagerar på vid incidenter eller när man upptäcker något fel. Det måste bort. informationssäkerhet handlar om systematiskt arbete, ett tänk jag försöker få in i hela kommunen.

Kommunövergripande styrning

I Umeå har man inte haft någon kommunövergripande styrning gällande informationssäkerhet, utan det har drivits från it-funktionen fram till 1 november.

Det har lett till att verksamheterna inte förstått att de själva har ansvar över sin data. De måste själva se till att rätt information är skyddad och klassificerad, det finns ingen annan som gör det åt dem. Nu med en övergripande styrning blir det förhoppningsvis en mer kommungemensam fråga som drivs centralt från ledningshåll.

Därigenom blir det också lättare att på sikt få in systematiken som jag vill åt.

En annan utmaning som CISO i en kommun är att digitaliseringen går snabbare än vad informationssäkerhetsarbetet gör. Arvet av en teknikskuld gör det vitalt att hänga på i digitaliseringen men där är det lätt att säkerhetsarbetet får lida.

Vi har begränsade resurser och inte tillgång till kompetensen som krävs. Digitalisering går fort, att få till en bra informationssäkerhet tar tid.

Utbildning för alla kommunanställda

Beatrice Fossmo

Beatrice Fossmo, CISO i Umeå kommun.

Här försöker Beatrice Fossmo nå alla medarbetare med rätt typ av utbildning och information. Oavsett om den kommunanställde arbetar med exempelvis omsorg eller parkförvaltning så hanterar personen information, och har därmed ett personligt ansvar.

Vi kör årliga nanokurser och mikrolektioner via epost. Men det finns också anställda som inte har mejl och vi behöver även nå dem. Vi kan nå vissa med utbildningar på intranätet men där är de inte inne dagligen.

Så därför deltar jag gärna på arbetsplatsträffar där jag och vårt dataskyddsombud pratar och svarar på frågor. Mycket ansvar ligger på chefer runt om i våra verksamheter att se till att de anställda kan utbilda sig. Alla måste med på tåget.

Framåt kommer mycket handla om att få till ett ledningssystem för informationssäkerhet för alla kommunens förvaltningar. Där kommer arbetet bedrivas systematiskt och riskbaserat enligt standarderna ISO 27 001 och 27 002. Några förvaltningar har redan kommit igång med ledningssystemet, men långtifrån alla.

När alla är inne i ledningssystemet kommer vi från central nivå få en bra koll på vilka som är våra viktiga tillgångar. Genom det kommer vi även bli bättre på att ställa och följa upp krav på partners vid upphandlingar och avtal. Vi har lagt en bra grund, nu ska vi bara få snurr på arbetet.

7 december 2021Uppdaterad 2 oktober 2023Reporter Fredrik AdolfssonsäkerhetFoto Adobestock

Voisters nyhetsbrev

Rekommenderad läsning