Informationssäkerhet är en utmaning för alla organisationer. Anställda i Sveriges regioner hanterar varje dag känsliga digitala uppgifter. Riskerna har blivit tydligare på senare år, konstaterar Region Östergötlands ansvariga för informationssäkerhet.

Text: Susanne Rydell
Foto: Calle Jonzon

Vättern utgör en gräns i väster. Östersjön utgör en gräns i öster. Däremellan finns Region Östergötland med expansiva städer som Linköping och Norrköping och med historiska landmärken som Vadstena - där heliga Birgitta grundade sitt kloster i slutet av 1300-talet.

Region Östergötland är en av de 21 regionerna (tidigare landsting) i Sverige. Regionerna delar många utmaningar när det gäller informationssäkerhet.

– Vi måste ha ett skydd som fungerar, både utifrån integritetsskäl och utifrån lagkrav, säger Joan Clements, verksamhetschef i regionen.

Ett av de nya – och mest omtalade - lagkraven är dataskyddsförordningen GDPR. Det finns också andra nya lagkrav, ett exempel är NIS-lagen som ställer krav på säkerheten i nätverk och informationssystem. Reglerna gäller leverantörer av samhällsviktiga tjänster

Alla är berörda

– Det yttersta ansvaret ligger på ledningen. Men alla i organisationen är berörda på ett eller annat sätt, alla ska tänka informationssäkerhet och förstå vad det innebär att hantera olika uppgifter, säger Richard Rystedt, it-säkerhetsansvarig i Region Östergötland

Det handlar om många medarbetare; ungefär 14 000 personer är anställda i regionen. De arbetar bland annat på sjukhus, vårdcentraler och inom länstrafiken.

Många utför informationssäkerhetsarbete utan att man tänker på det.

– Det kan vara en utmaning att få alla att förstå att informationssäkerhet också är ett prioriterat område. Alla känner sig inte berörda, ett exempel är att man kan tänka att jag jobbar bara administrativt och hanterar fakturering. Men även det arbetet innebär tillgång till en mängd uppgifter, säger Joan Clements.

Utbildning en grundbult

En grundbult i arbetet med informationssäkerhet är utbildning. Regionen har en obligatorisk e-learning-kurs för alla anställda. Richard Rystedt är också ute så mycket som möjligt i organisationen, exempelvis på arbetsplatsträffar.

– Det är ett sätt att sprida kunskap och att få tillbaka ny input som kan leda till utveckling. Om jag är ute och träffar läkare kan de fylla på med exempel från sin egen vardag, säger han.

Utbildning är alltså en central del av arbetet med informationssäkerhet. På samma sätt är den tidigare nämnda omvärldsbevakningen viktig. För att arbeta systematiskt med informationssäkerhet krävs dessutom att en rad andra grundläggande faktorer är på plats, enligt Joan Clements.

– Det krävs en strategisk styrning från högsta nivå, ett utvecklat ledningssystem och ett utvecklingsarbete med hjälp av ständiga förbättringar, säger hon.

Det handlar också om organisation.

– Det räcker inte att ha ett team centralt, det måste finnas personer lokalt som arbetar nära verksamheten där informationen hanteras, säger Joan Clements.

Detta är en redigerad version av en artikel ur SIS tidning Perspektiv #1 2019.

Läs mer om informationssäkerhet >>