kommun1

ESDH-KONTROL GØR EN FORSKEL I ESBJERG

Med et femcifret antal slutbrugere er det svært at få fat i dem alle, når der er problemer med IT-sikkerheden i Esbjerg Kommune. Et centralt filter, der gør hver enkelt medarbejder til sin egen fejlfinder, har øget databeskyttelsen i kommune.

Med 115.905 borgere er Esbjerg landets femtestørste kommune regnet på indbyggertal. Det betyder også, at kommunen beskæftiger mange mennesker, blandt andet cirka fyrre personer i IT-afdelingen.

“Der er både fordele og ulemper ved at være en stor kommune. Vi gør rigtig meget for at styrke IT-sikkerheden her, men der kan være langt ud i de yderste kroge i organisationen. Til gengæld kan vi samle rigtig mange kompetencer og vidensdele. Det gør en forskel,” siger Henriette Spang Sørensen, der er ESDH-konsulent i kommunens IT-afdeling.

Hun er en af dem, der skal sikre, at blandt andet den nuværende persondatalov og den persondataforordning, der træder i kraft 24. maj 2018, bliver overholdt, når kommunens sagsbehandlere håndterer fortrolige informationer om borgerne.

DET FRIGIVER RESSOURCER

kommune2

Henriette Spang Sørensen er tovholder på Esbjerg kommunes succes med at begrænse adgangen til personfølsomme data i kommunens systemer. Det er gået så godt, at de bliver brugt som eksempel på best practice på ESDH-konferencer.

Og det er ikke altid lige til. For nogle år siden skete det lidt for ofte, at der var fejl i den måde, sagerne blev gemt i kommunens ESDH-system. Det kunne være sager, der ikke var opmærket korrekt eller hvor der lå personfølsomme data, som ikke var låst for uvedkommende.

En ekstern revision dokumenterede i 2015, at der var behov for at få gjort noget ved det. Der blev lavet en handlingsplan, og så gik Henriette Spang Sørensen i gang.
“Vi er en stor organisation, så det var en håbløs opgave at skulle have fat i alle sagsbehandlerne. I sidste ende er det jo dem, der skal ændre praksis, men det er svært at sikre,” fortæller hun.

Men så dukkede IT-virksomheden Formpipe op med en løsning. De har udviklet en kvalitetskontrol, der kan tjekke alle sager i ESDH-systemet løbende og advisere medarbejdere, når der er problemer i deres konkrete sager.

“Det er en regelmotor, der kan tjekke, om sager bliver efterladt i systemet med personfølsomme informationer, som andre så har adgang til,” fortæller hun.

Tanken med købet var at frigive ressourcer, fordi kvalitetskontrollen på den måde blev lagt ud til sagsbehandlerne. Det lykkedes, og samtidig har det også præventiv effekt, fordi de er mere opmærksomme på problemstillingen i det daglige arbejde. Derfor kalder Henriette Spang Sørensen regelmotoren, der hedder EKkvalitet,”en slags hjælp til selvhjælp”.

“En sagsbehandler får en adviseringsmail om forhold på sager eller dokumenter, som kræver særlig opmærksomhed. Det er så den enkelte sagsbehandlers ansvar at rette,” siger ESDH-konsulenten.
Det nye system har gjort underværker for kommunens databehandling af følsomme oplysninger.

“Vi har rigtigt godt styr på data og samtidig en meget streng kontrol med hvem, der kan se hvad i systemet. I dag er min funktion derfor at rette regler til i stedet for at sidde og lave manuel rettelser på de enkelte sager og dokumenter.”

OUTSOURCING I ODDER

Når man er en af landets mindste kommune er budgettet derefter. Men det betyder ikke, at man kan slække på sikkerheden. I Odder har de i stedet fået hjælp udefra.

Med blot 22.331 indbyggere indtager Odder 87. pladsen ud af landets 98 kommuner, når de rangordnes efter beboertal. I den østjyske kommune består IT-afdelingen af fire medarbejdere og en elev.
Hvis det alligevel skal kunne lade sig gøre at betjene 1.000 slutbrugere samt 3.200 skoleelever og lærere er outsourcing blevet et vigtigt værktøj, fortæller IT-chef Jan Møller.
I Odder kommune har de derfor eksterne virksomheder til at stå for både serverdrift og hele netværksinfrastrukturen.

“På grund af mangel på ressourcer outsourcer vi mange ting. Hvis vi støder på et problem, der virker kompliceret, så køber vi nogen ude i byen til at løse det. Vi har et motto: ‘Vi skal videre’. Det betyder, at vi ikke skal have opgaver liggende, som tager lang tid at løse. Der skal være fremdrift,” fortæller Jan Møller.

Det betyder også, at store dele af det sikkerhedsmæssige håndteres udefra.

“Vores firewall er outsourcet, og lige nu er den ved at blive udskiftet. De fleste er kommet frem til, at man i dag ikke kan sikre alt med en firewall. Det kan ikke lade sig gøre. Derfor har vi i stedet valgt en, der kigger på den enkelte brugers adfærd og kapper forbindelsen til deres computer, hvis der foregår atypisk adfærd, som fx en maskine, der pakker en masse filer ud. Hvis det er en inficeret maskine bliver den geninstalleret, og hvis det er noget ufarligt, så åbnes forbindelsen igen,” siger han.

kommun3

Jan Møller er oplært i Odder Kommune, hvor han har været ansat siden 1979. Han kender derfor den digitale infrastruktur særdeles godt, hvilket er en stor fordel som IT-chef.

SMÅDRIFTSFORDELE

At være en lille kommune giver dog ikke kun ressourcemangel. Det giver også en række fordele, fortæller Jan Møller.

“Vi kan ensarte ting imellem de to sektorer, altså de administrative brugere i kommunen og elever og lærere i skolen. Det ville man ikke kunne blive enige om i en stor kommune,” siger han.
Samtidig betyder dét, at de fem IT-medarbejdere sidder i samme rum, så de hele tiden kan holde hinanden orienteret om nye udviklinger og problemstillinger, der skal håndteres.

“Vi snakker nogle gange om, at en kommune af vores størrelse kan tale om smådriftsfordele, hvor andre vil tale om stordriftsfordele,” siger han.

Hvor store dele af den tekniske sikkerhed håndteres udenfor huset, så er awareness-arbejdet placeret i Jan Møllers afdeling. De har lavet en række humoristiske undervisningsvideoer, hvor de vigtigste leveregler for IT-sikkerhed præsenteres.

“Den største risiko er medarbejderne. Sikkerhed er rigtigt irriterende for dem i en travl hverdag, for det er typisk mere effektivt at undlade sikkerhedsforanstaltninger. Det kan vi se, når vi får indleveret computere med password-post-its på låget og telefoner med pinkoden skrevet på bagsiden,” fortæller han.

Og selvom den slags oplevelser er frustrerende, for en, der arbejder med IT-sikkerhed, så er det til at gøre noget ved. For en lille kommune betyder det også, at Jan Møller og hans kollegaer har kort vej til frontmedarbejderne.

“Det er nemmere at komme ud til medarbejderne, når der er kort afstand. Vi har en meget flad struktur, så jeg kan sagtens kontakte en sosu-assistent eller deres leder. Det er ikke svært at finde vej igennem organisationen. Det ville det nok være sværere i Århus kommune.”

 Det er nemmere at komme ud til medarbejderne, når der er kort afstand.
Jan Møller