”Det här är vårt bidrag till ett säkrare offentligt Sverige”
Hallå där Björn Strandberg Klug och Rickard Svenningsson som har utvecklat ett verktygsstöd för informationssäkerhet som erbjuds kostnadsfritt till offentlig sektor.
Vad var drivkraften bakom att ta fram ett sådant verktyg – och hur fungerar det i praktiken?
– Ända från start har vi sett hur verksamheter kämpar med sina ISO-certifieringsprojekt i allmänhet och informationssäkerhetsprojekt i synnerhet. Det har varit mängder med dokument, excellistor och inte minst kopieringar av standardtexter utan att man vet vad man håller på med. Vi ville lösa det här för våra kunder och började redan 2017 utveckla Ledningssystemet.se för att kunna lösa processkartläggning, informationsinventering och informationsklassning i ett enda flöde. Inledningsvis använde vi det som ett projektverktyg inom ramen för vårt konsultbolag Verksamhetsfokus Sverige AB och vissa kunder valde att fortsätta förvalta sitt ledningssystem för informationssäkerhet i den här första versionen av verktyget.
Under 2023 gjorde vi om verktyget i grunden och hela kodbasen skrevs om. Vi ville ta fram ett förfinat och mer användarvänligt verktyg som skulle hjälpa dels våra befintliga samt kunna användas av andra verksamheter som redan har implementerade ledningssystem men har tröttnat på alla filer och dokument. 2024 bildade vi bolaget Ledningssystemet Sverige AB för att kunna möta marknaden vid sidan av vår konsultverksamhet och för att kunna erbjuda våra konkurrentkollegor att använda sig av verktygsstödet för att hjälpa sina kunder. I samband med detta fattade vi beslutet låta offentlig verksamhet (stat, region, kommun och bolag som ägs till 100 procent av det offentliga) att nyttja verktyget utan licenskostnad under förutsättning att de driftar det i egen it-miljö.
Offentliga aktörer kontaktar oss enklast genom hemsidan www.ledningssystemet.se och kan då få instruktioner kring hur man kan installera det i sina interna IT-miljöer. Om man vid sidan av verktygsstödet vill få konsulthjälp eller hjälp med innehåll (exempelvis kravkällor, riskmallar, kategorisering av informationstillgångar och leverantörer) finns det anslutna partners som kan bistå med det, dock är det inte något krav att ha en ansluten partner och en kommun kan också vara partner till sina egna organisationer om man därigenom vill samordna arbetet kring informationssäkerhet via Ledningssystemet.se.
Många offentliga verksamheter arbetar nu med att stärka sina ledningssystem för informationssäkerhet, inte minst med tanke på NIS2 och regeringens nya nationella cybersäkerhetsstrategi. Hur kan ert verktyg bidra till att förenkla det arbetet?
– I allt väsentligt hjälper Ledningssystemet.se verksamheterna att leva upp till kraven i NIS2 genom grundfunktionerna, men givetvis behöver varje enskild verksamhet göra arbetet. Som exempel kan man nämna att Ledningssystemet.se har stöd för ett systematiskt riskhanteringsarbete (som lever upp till kraven i ISO 27001), har ett enkelt stöd för incidenthantering samt har funktionalitet för leverantörskategorisering och leverantörsuppföljning. Det Ledningssystemet.se framförallt hjälper till med är att ge verksamhetsledningen en överblick över verksamhetens informationssäkerhetsarbete och kan därigenom också rikta och prioritera resurser och stöd internt till de områden som är mest prioriterade.
Ni erbjuder verktyget utan kostnad till offentlig sektor – ett ovanligt grepp i den här branschen. Vad hoppas ni att det ska leda till på längre sikt?
– Vi förstår att det är ett förhållandevis ovanligt grepp, men vi ser det här som vårt bidrag till den allmänna förmågehöjningen vad gäller offentlig sektors systematiska informationssäkerhetsarbete utan att de ska behöva lägga stora delar av budgeten på ett verktygsstöd. Att tillhandahålla Ledningssystemet.se utan ersättning till offentliga verksamheter bidrar vi inom ett område som vi anser oss behärska; dels utifrån vår konsultgärning, dels utifrån att vi sedan flera år har agerat revisorer åt certifieringsorgan och därmed reviderat olika verksamheters ledningssystem för informationssäkerhet. Samtidigt får vi väldigt mycket tillbaka från våra användare, dels i form av återkoppling kring det som fungerar bra men framförallt genom förslag på sådant som vi kan göra bättre.
På sikt hoppas vi att fler verksamheter kan införa ett relevant och effektivt ledningssystem för informationssäkerhet som inte innebär att man ska behöva hålla ordning på flera parallella excellistor eller behöver publicera massa märkliga dokument. I grund och botten handlar det om att hitta ett enkelt sätt att hålla ordning på den information verksamheten hanterar, de kritiska tillgångar informationen är i samt de leverantörer som vi är beroende av. Löser man det och har ordning på de risker man står inför finns det också goda möjligheter för de flesta verksamheterna att identifiera och införa de kontroller som är nödvändiga för att hålla verksamheten igång.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
