Marianne Bo Krowicki og Anders Lou

Her er informationssikkerhed en del af kulturen

I Brøndby Kommune er informationssikkerhed en selvfølgelighed. Den er forankret overalt i organisationen fra direktion til borgerservicemedarbejder og ud i hver enkelt forvaltning. Læs her, hvordan de gør.

Af Mia Dalby Larsen 24/05/2018

Ned ad en lang, lys gang på rådhuset i Brøndby kommer Marianne Bo Krowicki gående imod gæsten, der skal skrive en artikel om den måde, Brøndby Kommune organiserer sig på omkring informationssikkerhed. Kort forinden er gæsten blevet peget i retning af gangen i Informationen. Og det er ikke kun, fordi Marianne Bo Krowicki er særdeles imødekommende i sit væsen, at hun styrer smilende mod sin gæst. Det er nemlig en af de små ting, man gør som medarbejder, hvis man har informationssikkerhed som en del af sit naturlige kompetencekatalog.

- Det er ikke noget tilfælde, at jeg møder dig her. Jeg skal nemlig sørge for, at du ikke får forvildet dig ind på nogle kontorer eller får set nogle papirer, som du ikke skulle have set, fortæller hun.

Marianne Bo Krowicki er informationssikkerhedskoordinator og databeskyttelsesrådgiver i Brøndby Kommune, hvor hun har haft sikkerhedskasketten på i de seneste to år.

Hun er ansat i borgmestersekretariatet og sidder lidt længere nede ad gangen fra direktionens medlemmer. Et godt stykke væk fra IT-afdelingen, og det er ikke tilfældigt.

- Det er helt bevidst, og det er en god ting. Det tror jeg, at både vi og IT-afdelingen synes, siger kommunaldirektør Anders Lou.

Det er Marianne Bo Krowicki enig i. Informationssikkerhed handler nemlig ikke kun om noget med IT.

- Hvis man mener noget med sikkerhed, så skal man tage det ud af IT-afdelingen. Hvis jeg sad i IT, så ville der være helt utroligt langt ud til det, der har med sikkerhed at gøre, og forvaltningerne ville ikke forbinde mig med sikkerhed, men i stedet med IT, siger hun.

Det, at Marianne Bo Krowicki sidder så tæt på direktionen gør, at sikkerhed har en særlig plads i bevidstheden hos direktionen.

- Når vi taler om sikkerhed, så er Marianne med. Vi taler med den, der ved noget om det, og jeg kan se, at folk er meget fokuseret på det, hun siger. De stiller mange spørgsmål og sætter sig ind i det, siger Anders Lou.

Informationssikkerhed er forankret i direktionen

Marianne Bo Krowicki har i sin egenskab af informationssikkerhedskoordinator direktionens opmærksomhed, når hun præsenterer problemstillinger og mulige løsninger. 

- Der er jo fokus på informationssikkerhed over hele linjen nu, man kan ikke åbne en avis, uden at der står noget om det. Men hos os har der ikke være en stor, skelsættende begivenhed, der har ført til, at vi er begyndt at arbejde mere med det. Det er langsomt kommet ind over en årrække, hvor vi har prøvet hen ad vejen at organisere os og lade medarbejderne beskæftige sig med det. For to år siden kunne vi godt se, hvor det bar hen, og så strikkede vi en stilling sammen som den, Marianne har, fortæller Anders Lou.

Han tror også, at Brøndby Kommunes måde at arbejde med informationssikkerhed på støttes af, at kommunen ikke er en af landets største. Den har en størrelse, hvor det er overskueligt at arbejde med hele organisationen på en gang.

Marianne Bo Krowicki går på tværs af organisationen og er bindeled mellem de ønsker og krav, der stilles til og fra det, hun på it-sprog kalder ’forretningen’ og f.eks. IT-afdelingen. Men hun er også den, der konstant motiverer og presser på, for at informationssikkerhed skal være en indgroet del af den måde, enhver medarbejder og leder tænker på. Hun afdækker og initierer og er knudepunktet i organiseringen omkring informationssikkerhed, men hun er ikke en enmandshær.  

I Brøndby Kommune har man nemlig valgt at sprede både viden om og ansvar for informationssikkerhed ud i alle forvaltninger. Et udvalg af informationssikkerhedskoordinatorer har ansvar for informationssikkerhedsdagsordenen i hver deres forvaltning. Der er typisk tale om stabscheferne eller en rolle, der har tilsvarende kompetence.

- Det er typisk forvaltningsdirektørens højre hånd, og det giver rigtig god mening, at det er nogen, der kan træffe beslutninger, siger Marianne Bo Krowicki.

De mødes i udvalget en gang om måneden, hvor de enten i det forum eller i underudvalg arbejder med politikker eller med at beskrive producerer eller lave risikovurderinger. De lægger sager op i styregruppen, som forvaltningsdirektørerne sidder i, de sørger for, at politikker og vejledninger kommer ud at leve i organisationen, og så sørger det for, at der er et fagligt miljø omkring informationssikkerhed på tværs af hele kommunen.

Det er ikke et forum, som Marianne Bo Krowicki skal slæbe folk ind i. De kommer helt af sig selv, og deltagerne kommer til møderne hver gang.

- Jeg tror, det er fordi, de oplever det som relevant. Det giver mening for dem at arbejde med sikkerhed. Nogle af de her ting er jo ikke elske-opgaver, men det er opgaver, der er nødvendige at gøre, siger hun og sammenligner arbejdet med informationssikkerhed med en forsikring.

- Det giver ro i organisationen og en fornemmelse hos medarbejdere og ledere af, at der er styr på det, siger hun.

Sikkerhed rækker langt ud i organisationen

Forummet er dog ikke det eneste eksempel på, at man rundt omkring i organisationen tager ansvar for sikkerhed. I en forvaltning har de lavet deres eget sikkerhedsforum, og i en anden afdeling har lederen udarbejdet en tjekliste sammen med medarbejderne til det daglige arbejde.

Hvis Marianne Bo Krowicki skal pege på en ting, som man gør særligt godt i Brøndby, så handler det netop op, at hun ikke er alene om det.

- Vi tager alle sammen ejerskab. Sikkerhed er forankret i organisationen, og der sidder ikke en person og beslutter, hvordan vi arbejder med det. Vi er fælles om det, og det gør også, at det ikke er så sårbart, som hvis det kun var mig, siger hun.

Og ejerskabet støttes af en direktion, der interesserer sig for informationssikkerhed, og det er nødvendigt.

- Det er det, fordi sikkerhedsarbejdet på nogle områder jo gør livet mere besværligt for medarbejderne. Så det er nødvendigt, at nogen oppefra siger, at man skal tænke i de baner, hvad enten det drejer sig om sager i Teknisk Forvaltning eller på socialområdet. Ellers er det nok noget, man let kommer til at springe over, siger Anders Lou.

Borgerservicemedarbejder: Informationssikkerhed er bare noget, vi gør
Majbritt Ea Kjærgaard

For Majbritt Ea Kjærgaard og hendes kolleger i Borgerservice er informationssikkerhed en del af hverdagen.

- Jeg fokuserer på det og har altid gjort det. Vi bliver også hele tiden opmærksomme på ting, vi kan gøre endnu bedre, siger hun.

Eksempler på, at informationssikkerhed bare er en del af hverdagen er, når borgere, der har glemt deres sygesikringskort, kommer ind.

- Så vender vi et papir om og beder dem skrive deres cpr-nummer ned i stedet for at sige det højt., fortæller Majbritt Ea Kjærgaard.

Et andet eksempel er, at når man forlader computerne lige gyldigt om det er i selve Borgerservice elle på kontoret, så låser man sin skærm. Og kollegerne tager ansvar for at hjælpe hinanden.

- Vi husker hinanden på det, hvis nogen glemmer det. Men for de fleste, der sidder det bare dybt i os, siger hun.

Alle medarbejdere har fået en folder om generel informationssikkerhed, og hendes egen leder har udarbejdet en tjekliste, som afdelingen bruger. Sikkerhed er også noget, der drøftes på personalemøder. Men det vigtigste for den kultur, der hersker, er, at der finder oplæring sted, når nye bliver ansat.

- Og så har vi jo viljen til virkelig at gøre tingene bedre og bedre, siger Majbritt Ea Kjærgaard.

Er du interesseret i flere artikler som denne?

Viden På Tværs samler de gode erfaringer fra kommunerne.
Tilmeld dig det nyhedsbrev, som passer til dit arbejdsområde, og få viden om nye indsatser, erfaringer fra den virkelige verden og gratis værktøjer.

Gode råd fra Brøndby Kommune
  • Lad informationssikkerhed være forankret i direktionen. Træk det ud af IT-afdelingen og gør det til noget, der diskuteres også på direktionsgangene.
     
  • Opret et forum for informationssikkerheds- koordinatorer fra hver sin forvaltning. Her kan der koordineres praktiske ting, udarbejdes politikker, vejledninger, vurderinger mv. Men det er også et forum for forankring af en sikkerhedsfaglighed.
     
  • Prioriter ressourcerne. Send medarbejdere på kursus i sikkerhed og hav en rolle, der går på tværs i organisationen.
     
  • Gå efter motivationen. Informationssikkerhed lyder måske kedeligt, men forsøg at finde det, der motiverer medarbejdere til at arbejde med det. At arbejde systematisk med informationssikkerhed er organisationsudvikling.

 

Billedet øverst

Marianne Bo Krowicki har været ansat som informationssikkerhedskoordinator i Brøndby Kommune i to år. Til daglig sidder hun tæt på direktionen med kommunaldirektør Anders Lou i spidsen. Det betyder, at informationssikkerhed er på direktionens dagsorden løbende i det daglige.