Ringkøbing-Skjern Kommune tæmmede sit selvskabte sikkerhedsmonster

På et tidspunkt blev Ringkøbing-Skjern Kommunes egne sikkerhedsprocedurer så omfattende, at medarbejderne druknede i meningsløse arbejdsopgaver. Med hjælp fra NorthGRC har kommunen i dag trimmet den samlede informationssikkerhed og samtidig skabt en helt ny strategi for fremtidige tiltag.

I staben Service og Digitalisering i Ringkøbing-Skjern Kommune har man fået et nyt motto. Det hedder i al sin enkelhed “mest muligt for mindst muligt”. Udover at mottoet er nemt at huske, så fungerer det faktisk også som rettesnor for fremtidige tiltag, der har indflydelse på it-sikkerheden i kommunen.

Baggrunden for ‘mest muligt for mindst muligt’ skal findes i den mangeårige de facto standard for it-sikkerhedsimplementering i stat og kommuner, DS 484. Med DS 484 som retningslinje nåede kommunen med årene at definere 39 sikkerhedsprocedurer, som organisationen pålagde sig selv at efterleve. Men som projektleder Hanne Studsgaard Hinge forklarer i dag, blev arbejdsopgaverne til sidst så mange og så tunge, at medarbejderne ikke længere kunne overskue det sikkerhedsbureaukrati, de selv havde skabt.

Mange af sikkerhedsprocedurerne var beskrivelser af, hvordan vi håndterede it-sikkerhed i kommunen. Men problemet var, at vi faktisk ikke gjorde det, vi selv havde beskrevet. For det kunne vi ikke med de få midler, vi havde. Det resulterede i en voksende bekymring, siger hun.

Fra "kan" til "skal" strategi

I 2012 fik Hanne Studsgaard Hinge en ny chef i staben Service og Digitalisering i Ringkøbing-Skjern Kommune. Han hed Carsten Spang, og han kom med en ny og mere pragmatisk tilgang til it-sikkerhed.

- Jeg var med til at indføre det overordnede princip, at vi skulle have mest muligt ud af mindst muligt. Selvfølgelig skal vi som kommune altid overholde loven, når det kommer til sikkerhed. Men vi behøver ikke at gøre en masse ting, bare fordi vi kan. Vi kan nøjes med at gøre det, vi skal, sammenfatter Carsten Spang i dag.

Får mere værdi for pengene

Omtrent samtidig med at Carsten Spang blev ansat, fik Ringkøbing-Skjern Kommune også tilknyttet en ny sikkerhedskonsulent fra NorthGRC. Sikkerhedskonsulenten kastede et kritisk blik på kommunens mange sikkerhedsprocedurer og hjalp med at barbere antallet ned fra de oprindelige 39 til 10 procedurer – ligesom han også hjalp med at skære antallet af sider i kommunens sikkerhedshåndbog ned fra 90 til 36 sider.

- Det kunne også kun lade sig gøre, fordi vi samtidig overgik fra den detaljerede DS 484-standard til den mere lempelige ISO 27001-standard. Men faktum var, at vi havde brug for hjælp til at komme videre. Det hjalp NorthGRC's sikkerhedskonsulent os med, så vi i dag bruger vores tid og penge der, hvor det giver bedst mening, siger Carsten Spang.

Færre møder og mere action

Som en del af den tidligere praksis, der slugte meget tid, havde Ringkøbing-Skjern Kommune organiseret arbejdet med it-sikkerhed i en 10 mand stor arbejdsgruppe. Gruppen mødtes fire-fem gange om året.

-Møderne var ofte uden væsentligt indhold og opfølgning. I dag har vi skåret gruppen ned til fire personer, der mødes to gange om året. Det har gjort møderne meget mere aktionsprægede, forklarer Carsten Spang.

Alt i alt har det betydet, at vi ikke længere frygter, at Datatilsynet kommer og banker på. Vi er endnu ikke i land med alle vores initiativer. Men vi har dokumentation for, at vi er på vej.

NorthGRC's garant for strategi

Ringkøbing-Skjern Kommune anvender NorthGRC complianceværktøj til at holde styr på sikkerheden, herunder udarbejdelse af kommunens risikovurdering.

-Vores første risikovurdering var NorthGRC's sikkerhedskonsulent med til at lave i Secure ISMS. Men næste gang tror jeg faktisk godt, at jeg kan lave den selv, fordi jeg kiggede ham over skulderen den første gang, siger Hanne Studsgaard Hinge.

Alt i alt er hun meget tryg ved kombinationen af værktøjerne i Secure ISMS og konsulentbistanden fra NorthGRC.

- Jeg har ingen juridisk baggrund, og meget af arbejdet med sikkerhed er lidt noget juristeri. Hvis ikke jeg fik hjælp, tror jeg, at jeg kunne begrave mig selv i arbejde en gang til, siger Hanne Studsgaard Hinge.

Carsten Spang supplerer:

- Vores sikkerhedskonsulent er garanten for vores ‘mest muligt for mindst muligt’-strategi, og at vi altid holder os på den rigtige side af stregen. Der er jo grænser for, hvor langt vi kan skære ind til benet. Det betyder, at jeg efterfølgende kan kigge kommunaldirektøren dybt i øjnene og sige, at det her er det bedste, vi kan gøre for færrest mulige midler. Det har stor værdi for os,” slutter han.

RKSK_HSH_CS_1400x427.jpg

Hanne Studsgaard Hinge og Carsten Spang, Ringkøbing-Skjern Kommune  

 

Udfordring

Baseret på retningslinjerne i DS 484 opbyggede Ringkøbing-Skjern Kommune med årene et væld af sikkerhedsprocedurer og sikkerhedsprocesser, der slugte tid og ressourcer uden at tilføre værdi til organisationen.

Resultat

I dag har Ringkøbing-Skjern Kommune reduceret antallet af sikkerhedsprocedurer fra 39 til 10, de har reduceret antallet af sider i sikkerhedshåndbogen fra 90 til 36, og de har reduceret antallet af personer i sikkerhedsgruppen fra 10 til fire personer.

Løsning

I 2012 overgik kommunen til retningslinjerne i ISO 27001 og fik samtidig hjælp af NorthGRC til at tilpasse informationssikkerheden til kommunens nye ‘mest muligt for mindst muligt’-strategi. Kommunen anvender Secure ISMS, som er et komplet og effektivt Information Security Management-værktøj, der hjælper virksomheder med it-risikostyring og en enklere efterlevelse af deres it-sikkerhedskrav.