Intervju 3 - IT-säkerhet- Tre branscher

Intervjun är genomförd på Elvanstandläkare och respondenten är tandläkaren och egenföretagaren Johan Damberg³.

5.5.1 Företagspresentation

Elvanstandläkarklinik bedrivs av Johan Damberg tillsammans med kvalificerad personal inom tandvård och tandhygien. Tillsammans jobbar teamet för att uppfylla och tillgodose patienters önskemål och krav. Verksamheten använder sig av den senaste tekniken och erbjuder patienter hög service i trevliga och moderna lokaler.

Elvans tandläkare är en de 2200 entreprenörsdrivna aktieägarna som ingår i Praktikertjänst, Sveriges största koncern inom privat tandvård samt hälso- och sjukvård.

5.5.2 Bakgrund

Johan Damberg har varit verksam inom tandvården sedan 1997 och driver idag en egen privat tandvårdsklinik. Förutom att tillgodose patienter med bra tandvård i sitt yrke som tandläkare ansvara han även för att allt arbete kring kliniken sköts korrekt. I rollen som egen företagare består en del av arbetsuppgifterna av både personal politik, schemaläggning och inköp.

Idag ansvara Johan för ca 1000 patienter och stor del av både det praktiska och teoretiska arbete bedrivs med hjälp av datorn och digitala verktyg. Patienters journaler och övriga administrativa arbetsuppgifterna så som tidsbokningar, kallelse och röntgenbilder är helt beroende av de system som kliniken tillhandahåller.

Verksamheten behandlar datorbaserade personuppgifter enligt patientjournallagen, vårdregisterlagen och personuppgiftslagen (PUL).

5.6 Resultat av intervjun

5.6.1 Information och utbildning inom IT-säkerhet

IT-säkerhet skall bygga på sunt förnuft menar Johan och det gäller att gör en riskbedömning i ett tidigt skede. Att väga riskerna är den inledande fasen när det gäller allt säkerhetsarbete. Han menar att det med IT-säkerhet är precise som med allt annat, det kostar pengar. Genom att genomföra en konsekvensanalys och väga det värsta mot den säkerhet som vi bör ha är rätt väg att gå enligt honom.

I sin tjänst har Johan fått utbildning i de system som används på kliniken men däremot ingen särskild utbildning inom information eller IT-säkerhet. Då Elvans tandläkare är en del av koncernen praktiker tjänst finns det färdiga checklistor att förhålla sig efter och använda som ett led i all informationssäkerhet. Dokumenten används som verktyg för verksamheten och hjälp kliniken att hålla sig ajour med allt inom området. Policyn för informationssäkerhet omfattar fysisk säkerhet, organisatorisk säkerhet och logisk säkerhet och är en integrerad del i praktikertjänsts ordinarie verksamhet.

3 Johan Damberg, Intervju 10 April 2008

Vidare berättar Johan att alla nya anställda får genom tjänstereglementet ta del av de regler och förhållningssätt som gäller på arbetsplatsen. I samband med anställningen blir de informerade om vad som förväntas av de och hur datorn som arbetsverktyg bör användas. I dessa dokument finns ett helt kapitel avsatt för just frågor rörande IT-säkerhet. Det är arbetsmiljö och organisationens verksamhet som påverkar i vilken utsträckning de anställda kan missbruka arbetsverktyg. Inom kontorsmiljöer är det mer vanligt att datorn använda till annat, mer privata ärenden, och kanske till viss del missbrukas menar Johan.

5.6.2 Säkerhetsrutiner

I arbete som tandläkare hanterar Johan journaler och uppgifter som till viss del kan upplevas som känsliga. På kliniken är det han som har axcess till de system som används och kommer åt alla de uppgifter som finns tillgängliga. Behörigheten hos de andra anställda varierar beroende på vilka arbetsuppgifter de ansvara för. Inom administration har de helt annan behörighet än vad en tandsköterska bör han påpekar Johan.

Beslut om frågor kring de säkerhetsrutiner som finns på organisationen genereras av praktikertjänsten och på så sätt har Johan och hans team färdigt koncept att följa och rätta sig efter. Inloggningen till de olika systemen är noga genomtänkt och varje anställd har sitt eget användarnamn och lösenord. I vissa fall t.ex. då ändringar skall göras i journalen krävs ytterligare behörighet och inloggning som inte alla har tillgång till. Det skall även gå lätt att spåra vem som varit inne i systemet och gjort ändringar, ett krav från länsstyrelsen.

Johan menar att en tandvårdklinik inte direkt kan ses som ett föremål för brott. Han menar att det inte är en verksamhet som skulle vara av större intresse eller ekonomisk vinst för bedragare. Det är inte som att bedriva ett bankkontor lägger Johan till och menar att det värsta som kan hända är att någon kommer över patienternas journaler.

5.6.3 IT-säkerhetsåtgärder och användbarhet

Elvans tandläkarklinik jobbar utifrån ett koncept som bygger på att ha skapa en förståelse för de IT-säkerhetsåtgärder som finns. Genom att förstå syftet är det lättare att acceptera de åtgärder som finns. Dator skall använda som ett arbetsverktyg och IT-policyn skall hjälpa till att skydda oss från alla de hot som kan tänkas uppstå menar Johan. Om organisationen skulle drabbas av ett tillfälligt problem och att strömmen skulle gå, då står ju i princip hela verksamheten nere.

Användbarhet och användbara system är enligt Johan allt som underlättar arbete och bidrar till en bättre arbetsmiljö. På längre sikt innebär det även en förbättrad ekonomi.

Inom verksamheten som tandvård finns det vissa särskilda krav på både mjukvara och hårdvara. Då röntgenbilder kräver mycket ramminne finns det ett behov av större datorvolym med mer kapacitet, ett högre krav på prestanda. Johan menar att det går alldeles för långsamt idag och att det finns mycket kvar att göra. Det känns som om programvaruutvecklingen inte riktigt hänger med i utvecklingen som finns idag menar han.

5.6.4 Förväntningar och synpunkter om IT-säkerhet

IT-säkerhet är inget negativt begrepp med allt som är nytt kan kännas främmande och det kan ta ett tag innan vi förstår vikten av vissa åtgärder och innan dessa blir en

självklarhet. Johan tar bilbältet som ett exempel för att illustrera vad han menar. Det var inte länge sedan alla som satt bak i bilen åkte utan bälte menar han. Idag skulle ingen drömma om det för att vi vet vilka konsekvenser det kan medföra. Han lägger även till cykelhjälmen som ett annat exempel. I framtiden är det lika självklart att ha god IT-säkerhet som att bära hjälm när vi cyklar. Det gäller bara att få människor att förstå hur viktigt och nödvändigt det faktiskt är.

I ett land där halva befolkningen knappt har någon dator och den andra halvan är oroligt duktiga på det finns det en del kvar att göra, men vi är på god väg lägger Johan till. Hans förväntningar är att det i framtiden blir mindre risker och bättre lösningar.

Om han får spå om framtiden ser han andra lösningar. Johan tror att det mesta kommer att skötas externt i framtiden och gå via lina. Internet kommer att göra ännu större framsteg och allt fler företag kommer att satsa på att ha allt samlat på ett ställe. Ett antal IT-tekniker kommer att sköta det mesta och ansvara för allt inom området. På så sätt sparar vi in många konsulttimmar menar Johan. Kraven på att använda dator som arbetsverktyg inom tandvården ökar ständigt och från och med hösten är ett givet krav från tandvårdsförsäkringen och försäkringskassan att överföra statistik direkt online.

Inga papper godkänns längre och digitala dokument krävs, datorn har blivit ett måste.

6 Sammanfattning av empirin

Under detta avsnitt presenteras en sammanfattning av den genomförda empiriska undersökningen i form av en tabell.

Intervju 1

7 Analys

Syftet med avsnittet är att ge läsaren en koppling mellan studiens empiriska material och den teoretiska referensramen.

7.1 Information och utbildning inom IT-säkerhet

Den teoretiska undersökningen visar att det är stor betydelse att organisationsmedlemmar har goda kunskaper inom IT-säkerhet och är medvetna om vilka riktlinjer som gäller inom den egna verksamheten. IT-säkerheten befinner sig i en mycket snabb förändring när det gäller både teknik, metod, risker och hot där behovet är stort av fortbildning. Studiens genomförda empiriska undersökning visar att utbildning bland organisationsmedlemmar när det gäller IT-säkerhet inte är ett förekommande faktum. De studerade organisationerna prioriterar inte utbildning i IT och informationssäkerhet fast de har ett eget ansvar att adekvat utbildning genomför av alla medarbetare. Enskilda medarbetar inom varje organisation har ett ansvar att följa verksamhetens riktlinjer för hantering och bearbetning av information, dessa riktlinjer kan vara svåra att följa då organisationsmedlemmar saknar insikt om vilka regler och förordningar som gäller på arbetsplatsen. I undersökningen som visas i denna studie framgår det att organisationsmedlemmar följa det de tror förväntas av de när tydliga riktlinjer saknas. Empiriska undersökningen har visat att det finns brister i tydliga regler och förhållningssätt kring informationshantering. Organisationsmedlemmar är medvetna om att lösenord och kod inte skall bevara så att andra obehöriga kan komma åt dessa uppgifter men trots detta kan det i vissa fall förekomma slarv. Ett led i bra IT-säkerhetsarbete är att samla all viktig information och redovisa vilka kunskaper och utbildning som krävs för hantering av företagets resurser. IT-säkerhetspolicy skall vara ett dokument tillgängligt för alla medarbetar inom verksamheten och ha ett tydligt syfte. Dokumentet kan upplevas som en självklarhet för god IT-säkerhet men uppfyller inte sitt syfte om organisationsmedlemmar inte är informerade om att detta dokument existerar. Den empiriska undersökningen har identifierat att organisationsmedlemmar inte är medvetna om IT-säkerhetspolicy finns på deras arbetsplats. Detta innebär att de inte tagit del av förhållningssätt och regler att rätta sig efter. En IT-säkerhetspolicy skall innehålla klara besked om ansvarfrågor, behörighetsadministration och säkerhetsarbete inom organisationen. Organisationsmedlemmar som inte tagit del av informationen kan särskilt i utsatt läge känna oklarhet i vem som ansvarar och vilka åtgärder som måste vidtas. IT-säkerhetspolicy är ett dokument som måste hållas levande och vara ett stöd, enligt studiens empiriska undersökning finns det klara brister och organisationsmedlemmar är inte medvetna om vilken roll IT-säkerhetspolicyn spelar. Brist på information kan vara direkt skadligt för en verksamhet, alla medarbetare skall kunna ta del av företagets IT-säkerhetspolicy och veta vart att vända sig för att få tillgång till relevant information.

7.2 Säkerhetsrutiner

Inom verksamheter måste skyddsåtgärder ständigt anpassas och omvärderas då hotbilder och omvärld ändars. Den teoretiska undersökningen har visat att IT-säkerhet ingår som en stor del av verksamheters totala säkerhetsarbete och innerfattar flera området. Införande av passerkort och alternativa driftmiljöer har till uppgift att skydda system, servrar mot fysiska angrepp. Genom att begränsa organisationsmedlemmarnas möjligheter att fysiskt nå datorutrustning innebär att risker elimineras och möjligheten för obehöriga att använda stulen information minskas. Empiriska undersökningen har visat att det inom de studerade verksamheter finns tydliga säkerhetsrutiner som de anställda på ett eller annat sätt kommer i kontakt med dagligen. Rutiner som är logiska och har god funktionalitet är acceptera av organisationsmedlemmar. Det är betydligt enklare att vänja sig vid säkerhetsrutiner som har ett tydligt syfte och där organisationsmedlemmar förstår anledningen till att dessa finns. IT-säkerhetsrutiner skall vara utformade så att de inte utgör något större irritationsmoment i det dagliga arbetet. I undersökningen framgår det att rutiner skall vara naturliga och väl anpassade till en relevant horbild. I praktiken finns det alltid användaren som inte är tillräckligt lojala både inom och utanför den enskilda organisationen och därför är det viktig att organisationer ställer krav på användaren och driftpersonal för att uppnå god organisatorisk säkerhet.

Säkerhetsrutiner inom olika verksamheter förekommer i helt skilda omfattningar beroende på hur organisationens struktur och arbete ser ut. Undersökningen har visat att det inom skilda branscher finns stora olikheter mellan säkerhetsrutiner. Jämförelse mellan en privat klinik och industri har visat att säkerhetsrutiner är mycket mer omfattande i det sistnämnda men att riktlinjer trots detta inte är tydligare och mer definierade. Enlig den genomförda undersökningen är en bra regel att allt som inte är tillåtet och olämpligt bör ha någon form av fysisk spärr som förhindrar åtkomst. Det framgår att företagshemliga dokument i nätverken inte ska kunna kommas åt av personer som inte behöver detta för sitt arbete. Organisationsmedlemmar har en förståelse kring varför säkerhetsrutiner finns och att stor del av dessa blir just en rutin utan närmare eftertanke. Säkerhetsrutiner som inte förhindrar det egna arbete och inte är överambitiösa har organisationsmedlemmar lättare att acceptera. I de fall där rutiner upprepas flera gången och innefattar långa krångliga lösenord kan det vara svårt att se en mening bakom rutinen. Överambitiösa säkerhetsrutiner som inte har ett funktionellt syfte har inte heller någon meningsfull funktionalitet för verksamhetens arbete enlig organisationsmedlemmar. IT-säkerheten kan även i vissa fall bli lidande då det råder ett allmänt högt säkerhetstänkande inom organisationen. Av den empiriska undersökningen framgår det att i dessa fall kan IT-säkerheten upplevas som ytterligare ett moment i vägen och underskattas.

7.3 IT-säkerhetsåtgärder och användbarhet

I teorin framgår det att säkerhet handlar om att förse företaget med skyddsåtgärder så att risker minimeras och åtgärder vidtas för att tidigt identifiera och upptäcka hot. IT-säkerhetsåtgärder kan omfattas av hela infrastrukturen inom ett företag och syfte bör kommuniceras ut till verksamhetens medarbetare. I den empiriska undersökningen framgår att det är viktig att skapa en förståelse för de IT-säkerhetsåtgärder som finns, genom att förstå syftet är det lättare att acceptera de åtgärder som finns. IT-säkerheten är en viktig del av organisationers arbete för att eliminera risker och förebygga missbruk av viktig värdefull information. IT-säkerhetsåtgärder skall däremot inte försvåra det dagliga arbetet och påverka användbarheten hos IT-system. I teorin framgår det att produkten har hög användbarhet om den uppfyller beställarens syfte.

Användbarhet handlar om både verksamhetsmål, funktion, interaktion och är en viktig verksamhetsfråga. Tekniken som används möjliggör systemets funktionalitet och vi måste studera användning av systemet i ett givet sammanhang för att verkligen kunna förstå eller värdera användbarheten. Av den genomförda empiriska undersökningen framgår det att IT-säkerhetsåtgärder är källor till irritation då användbarheten är dålig.

Användbarhet ses av organisationsmedlemmar som någon som underlättar arbetet och bidrar till bättre arbetsmiljö. Intuitiva program är användbara och det framgår att användbarhet står i en nära relation till förutsägbarhet. Mjukvaruprogram skall säga sig själva det ska vara enkelt att direkt se vad som förväntas av användaren. IT-säkerhetsåtgärder inom organisationer bör enligt organisationsmedlemmar vara naturliga för att lättare kunna anpassas till den egna organisationen. För att effektivt bedriva det dagliga arbete måste användbarheten på de verktyg som använd vara god.

IT-säkerheten är viktig men användbarheten måste i många fall prioriteras.

Undersökningen påvisar att organisationsmedlemmar har egna erfarenheter av dålig användbarhet där IT-säkerheten är en underliggande faktor. Lösenord och kontroller är ett led i IT-säkerhetsarbete som upplevs som ett nödvändigt ont. Kontinuerligt byte av lösenord, många lösenord att lägga på minnet samt krav på väl genomtänka lösenord är några av de problem organisationsmedlemmar identifierar som har ett nära samband verksamhetens IT-säkerhetsåtgärder.

7.4 Förväntningar och synpunkter om IT-säkerhet

I studiens teoretiska del framgår det att arbete med att identifiera risker är svårt och omfattande då det ligger i människans natur att vi endast ser och kan förstå sådant som vi har erfarenhet av. Vid genomförande av riskhantering i IT-säkerhetsarbete finns det alltså en fara att vi glömmer sådant som vi inte har kunskap om. Empiriska undersökningen visar att organisationsmedlemmar har olika stort intresserade för frågor rörande IT-säkerhet. I undersökningen visade sig att det är viktigt att belysa konsekvenserna av dålig säkerhet och på sätt underlätta för medarbetare att inse vikten av god IT-säkerhet. Då alla medarbetare känner meningsfullhet är det lättare att samarbeta. Organisationsmedlemmar måste uppleva att rutiner skyddar för att inte se förbi de. IT-säkerheten kan idag kännas något nytt och främmade och det kan ta tid innan vi förstår vikten av vissa åtgärder och innan dessa blir självklarhet.

Organisationsmedlemmarnas eget ansvar och roll när det gäller IT-säkerhet är inte tydligt definierad och av undersökningen framgår det att anställda inte är delaktiga och informerade om de beslut och förändringar som sker rörande IT-säkerhet.

8 Resultat

Under detta avsnitt presenteras resultatet av de genomförda undersökningarna för att ge svar på studiens forskningsfrågor. Den nya kunskapen redovisas i både en sammanfattande och mer detaljera beskrivning.

Studien har visat att det krävs en förståelse för de IT-säkerhetsåtgärder som finns inom organisationen för att de skall följas och respekteras. Organisationsmedlemmar måste förstå syftet med de åtgärder som vidtas, anledningen till att organisationen valt att implementera dessa och på vilket sätt åtgärderna kommer att underlätta och stödja verksamhetens arbete.

Jag har identifierat faktorer som tyder på att det krävs en logisk förståelse till IT - säkerhetsåtgärder för att öka acceptansen kring IT-säkerhetsrutiner. För att organisationsmedlemmar skall förstå syfte måste även konsekvenserna av dålig IT-säkerhet belysas. Det är av stor vikt att lyfta fram de risker som finns med att inte skydda sig och vilka konsekvenser som kan uppstå av ett dåligt handlande och osäker arbetsmiljö. Genom att förstå hoten ökar organisationsmedlemmars acceptans till IT-säkerhetsrutiner samt deras förståelse och kunskaper om de verktyg som används.

I den empiriska studien jag genomfört framgår det tydligt att IT-säkerhetsåtgärder måste bygga på givna och enkla förklaringar och skall vara lätta att införliva i det dagliga arbetet. Rutiner skall vara naturliga och tydliga så att det inte uppstår något tvivel om vad som gäller. Teorin pekar på att IT-säkerhet ofta diskuteras med tekniken som utgångspunkt och att det är viktig att inte glömma att säkerhet handlar om att skydd av information. De genomförda undersökningarna styrker denna teori och visar att säkerhetens viktiga syfte att sydda information ofta hamnar i skuggan. IT-säkerheten associeras allt för ofta till rent tekniska aspekter där organisationsmedlemmar inte är insatts i hur tekniken fungerar.

Empiriska undersökningen visar att organisationsmedlemmar förlitar sig på att det finns rätt skydd inom den egna verksamheten och att IT-säkerheten fungerar som den skall. För att uppnå god IT-säkerhet måste tydliga regler och förhållningssätt kring informationshantering vara väldefinierade och personalen väl medveten om vilket ansvar de har. Den vetenskapliga undersökningen har visat att IT-säkerhetsåtgärder kan upplevas som överambitiösa, särskilt inom verksamheter som i sin helhet kräver ett högt säkerhetstänkande. Ständigt nya regler och förhållningssätt för de anställda inom Ringhals att rätta sig efter kan i vissa fall leda till en något negativ attityd och inställning till säkerhet i större allmänhet där inställning till IT-säkerheten påverkas i stor grad.

Organisationsmedlemmar som är en del av en mindre privat verksamhet och har ett större inflyttade över de IT-säkerhetsrutiner som implementeras har även en bredare förståelse för IT-säkerhets aspekter. Att driva en egen verksamhet innebär en ständig strävan efter att uppnå god effektivitet och skydda den egna organisationen mot alla möjliga hot. IT-säkerheten blir på så sätt en naturlig del av hela säkerhetsarbetet och

In document IT-säkerhet- Tre branscher (Page 33-44)