Johanna Erlandsson är informationssäkerhetsansvarig i Stockholms stad.

Johanna Erlandsson arbetar som informationssäkerhetsansvarig i Stockholms stad, en roll som blir allt viktigare i takt med att mängden digital information runt omkring oss ökar. Just nu är den kommande GDPR-lagstiftningen den hetaste frågan på hennes bord.

Johanna har arbetat med informationssäkerhet i elva år. Redan för elva år sedan fanns lagstiftning och regleringar kring hur information får hanteras. Även om frågan alltid varit viktig är den i och med den digitala utvecklingen och ny lagstiftning på området hetare än någonsin.

Även allmänheten har idag kunskap och förståelse för risker och integritetsfrågor när det gäller digital information. För tio år sedan var det inte lika vanligt att våra stora dagstidningar skrev om it-attacker och informationssäkerhet på sina förstasidor, vilket kan ses som ett tecken på att allmänheten idag intresserar sig allt mer för den typen av risker.

Johanna Erlandsson är ansvarig för informationssäkerhetsfrågor i Stockholms stad, vilket exempelvis omfattar att ta fram regelverk som styr hur stadens verksamheter ska arbeta med informationssäkerhet. I det ansvaret ingår även att införliva GDPR-lagstiftningen i de redan befintliga regelverken.

-Många av de krav som vi på grund av GDPR nu riktar strålkastarljuset mot är egentligen inga nyheter, utan stämmer ganska väl överens med hur vi arbetar redan idag. Därför ska vi heller inte uppfinna en massa nya regelverk, utan snarare införliva det som är nytt i det vi redan har på plats. Det här är ett bra tillfälle för oss som verksamhet att gå igenom och se till att våra verksamhetsprocesser håller måttet. Sen måste vi underlätta för våra medarbetare att följa reglerna i sitt dagliga arbete, det ska vara lätt att göra rätt och där kan vi naturligvis ständigt förbättra oss, betonar Johanna.

För någon vecka sedan gick projektet som ska driva GDPR-anpassningarna över i sin mest intensiva fas. Projektet ansvarar för allt ifrån att uppdatera riktlinjer inom en rad olika områden, till att ge stöd till stadens förvaltningar och bolag i deras arbete med att följa kraven. Projektet ska också se till att de mest framgångsrika arbetssätten kring informationssäkerhet lokalt hos stadens förvaltningar och bolag kan skalas upp och implementeras i resten av staden, så att stadens olika verksamheter kan få draghjälp av varandra.

-Min roll är att styra och vägleda projektet i rätt riktning, berättar Johanna Erlandsson.

I rollen som informationssäkerhetsansvarig  ingår även omvärldsbevakning för att identifiera olika typer av hot och risker samt ny lagstiftning som snart ska börja gälla. Verksamheten måste hela tiden förberedas för krav som kommer utifrån.

-Just nu pågår en upprustning av totalförsvaret samt det nya NIS-direktivet, vilka båda kommer medföra nya krav på hur vi som kommun arbetar med informationssäkerhet.

Arbetet handlar även om att hantera olika säkerhetsfrågor i den dagliga verksamheten, till exempel incidenthantering eller att stötta verksamheterna i hur de ska kan hantera säkerhetsfrågor i olika utvecklingsprojekt. En målsättning är att få in informationssäkerhet som en del av det dagliga arbetet i en verksamhet, det är inget som ska ske vid sidan om eller checkas av i slutet av ett projekt, för då är det oftast för sent.

-Ytterst handlar det om att förstå att information är en tillgång, vi behöver vår information för att bedriva verksamheter. Mycket av det vi gör är beroende av information och därför måste den skyddas på rätt sätt, avslutar Johanna Erlandsson.