Säkerhetsfredag #1: säkerhet i projekt och arkitektur

Varmt välkommen till årets första Säkerhetsfredag! Vi kickar igång 2019 med en eftermiddag på temat ”Säkerhet i projekt och arkitektur” och med oss har vi två säkerhetsexperter;  Fia Ewald och Per Strömsjö.

Varför är det så svårt att hantera säkerhet i stora IT-projekt – några tankar efter bl a Hälsa för mig

Projektet för  den nationella tjänsten Hälsa för mig drevs under flera år men avslutades utan att tjänsten kunnat förverkligas. Under hela projektet framfördes synpunkter från expertmyndigheter om bristande säkerhet och integritet i tjänsten. Trots detta fortsatte projektet och ledde till en slutnota på c.a. 140 miljoner. Vissa likheter finns alltså med händelserna vid Transportstyrelsen.

Vi bör därför reflektera över vad vi kan göra för att förhindra att denna typ av händelser upprepas. Vad kan den göras på nationell nivå? Vad kan göras inom expertmyndigheterna? Vad kan göras hos myndigheter, landsting och kommuner som driver digitaliseringsprojekt?

Fia Ewald, Fia Ewald Consulting AB, har arbetat med informationssäkerhet i ett par decennier och tycker fortfarande att det är lika intressant. Som informationssäkerhetschef i ett landsting, som konsult och som enhetschef för systematisk informationssäkerhet på Myndigheten för samhällsskydd och beredskap (MSB) har hon haft förmånen att lära känna området ur många olika aspekter. Det har gett henne erfarenhet från enskilda organisationer inom både offentlig och privat sektor samt informationssäkerhetsfrågor på den nationella nivån.

Säkerhetsarkitektur: Ingenjörskonst eller hantverk?

Per Strömsjö, Omegapoint, beskriver sina tankar kring att bygga säkerhet som ofta är ett hantverk snarare än ett ingenjörsarbete. Vi får höra hur en gemensam begreppsapparat med kontroller och mekanismer kan möjliggöra en dubbelriktad spårbarhet mellan verksamhetens behov/risk och implementerade komponenter. Vi går också igenom sju grundläggande säkerhetsprinciper som organisationer bör förhålla sig till.

Per är utbildare och konsult inom kontinuitet och informationssäkerhet med en mångårig bakgrund i finanssektorn. Per anser att säkerhet är för viktig för att överlåtas till säkerhetsspecialister. Det är snarare en kvalitetsegenskap som vi själva tar ansvar för i vårt system, vår process och i vår tjänst.