Säker användning GWSE

Hur kan vi använda våra digitala miljöer och verktyg för att öka både säkerhet och effektivitet när vi t.ex. hanterar känsliga personuppgifter? Vad krävs för att nå högre säkerhetsnivåer, när det gäller teknik och när det gäller handhavande?

P.g.a. att det inte går att nå 100% säkerhet är det många som avstår helt från att använda molntjänster som Google Drive och Office 365 för att hantera och lagra känsliga uppgifter. Samtidigt är andra system och arbetsformer vi använder idag långt ifrån 100% säkra. Vi ställer alltså mycket höga krav på våra molnmiljöer samtidigt som vi ofta ser mellan fingrarna på säkerheten i andra arbetssätt vi använder.

I arbetet med säker användning arbetar vi med att höja säkerheten och effektiviteten i molntjänster avsevärt jämfört med idag. Vi säkerställer också att vi uppfyller lagkrav och följer de regelverk och rekommendationer som finns.

Delprojekt Säker lagring

Under HT 2019 startade vi delprojektet Säker lagring. Syftet var att delprojektet skulle svara på frågan om det är möjligt att lagra och dela känsliga personuppgifter och personuppgifter med viss sekretess i Google-miljön. Ett arbetslag på grundskolan och ett på gymnasiet deltog i projektet som pilotanvändare. Delprojektet byggde på fyra olika åtgärder för att nå en förhöjd säkerhetsnivå i Google-miljön. 

Tvåfaktorsverifiering

Tvåfaktorsverifiering innebär att användare loggar in både med sitt lösenord och ytterligare en faktor för att verifiera sin identitet. Mobilt bank-ID och engångskoder som skickas till användaren med SMS är vanliga exempel. I Arvika kommuns skolor har vi valt att använda USB-nycklar. Varje användare har en personlig USB-nyckel och loggar in på sitt GWSE-konto tre gånger per vecka. Se bild här intill.

Delade enheter med förhöjda säkerhetsinställningar

Det mesta av lagringen sker i s.k. delade enheter på Google Drive. Delade enheter med såväl hög som förhöjd säkerhet skapas för att dela och kommunicera information mellan individer och grupper. Syftet är att göra det enklare för användare att hantera känsliga uppgifter korrekt. Syftet är också att det ska bli svårare att göra fel. Det ska vara lätt att göra rätt.

Utbildning av användare och förhöjt säkerhetsmedvetande

Samtliga medarbetare får en introduktionsutbildning i informationssäkerhet och hur vi arbetar i Arvika kommuns skolor. Syftet med introduktionsutbildningen är också att höja den allmänna medvetenheten inom området informationssäkerhet.

Medveten och strukturerad klassning av information

Vi arbetar med att ta fram instruktioner och policys för klassning av information så att det blir lätt att lagra på rätt ställe och dela med rätt personer. Deltagarna i projektet kommer att få medverka till att arbeta fram sådana instruktioner och policys.