Kundecase
Odder Kommune: “Vores CIS-analyse er gaven, der bliver ved med at give”
Det er sjældent, at en rapport bliver ved med at være aktuel, flere år efter den er skrevet. Men det er præcis tilfældet med Odder Kommunes CIS-analyse, som de fik udarbejdet af Conscia i slutningen af 2023. Sikkerhedsanalysen bliver flere gange om året brugt som referencepunkt for den sikkerhedsansvarlige, når eksisterende løsninger skal opdateres, eller når nye projekter skal implementeres.
I 2023 fyldte det kommende NIS2-direktiv meget i den danske sikkerhedsdebat. For hvordan ville lovgivningen komme til at se ud herhjemme, og hvad skulle omfattede organisationer helt konkret gøre for at efterleve kravene?
Når Kim Malchau, digitaliserings- og indkøbschef i Odder Kommune, tænker tilbage, var det nogle af de samme overvejelser, de gjorde sig dengang. Ved en tilfældighed faldt han i snak med en konsulent fra Conscia. De kom til at tale om netop NIS2, og konsulenten anbefalede, at Odder Kommune fik udarbejdet en såkaldt CIS-analyse. CIS-analyser er siden blevet brugt flittigt i de danske kommuner som et sikkerhedsrammeværktøj, men i 2023 var de mindre udbredte.
Dengang havde vi nok en oplevelse af, at det der med sikkerhed, det havde vi da styr på. Men i virkeligheden beroede det nok mest på nogle synsninger. For hvad var det egentlig, vi havde styr på? Hvordan var det, vi målte vores sikkerhedsniveau og i forhold til hvad? Det var vores primære bevæggrunde for at investere i en CIS-analyse. Vi ville have et baseline-billede af vores sikkerhedsniveau, og vi ville have dokumentation for, at det, vi gjorde, var rigtigt
Kim Malchau
Digitaliserings- og indkøbschef i Odder Kommune
Han forklarer også, at én af CIS-analysens helt store styrker er, at den ikke bare udmønter sig i en rapport til skrivebordsskuffen. De mange anbefalinger til at styrke sikkerhedsniveauet bliver sat ind i en prioriteret rækkefølge, så det ikke er op til organisationens egen fortolkning, hvor man bør begynde, og hvad der er vigtigst. Det står angivet sort på hvidt, hvilke tiltag der giver mest sikkerhedsmæssig værdi på både kort og lang sigt.
En retvisende sikkerhedsvurdering
En CIS-analyse er stykket sådan sammen, at den udløser en samlet sikkerhedsscore baseret på organisationens svar på de enkelte kontroller og den aktuelle status på sikkerhedsarbejdet. CIS-rammeværktøjet er offentligt tilgængeligt og kan i princippet hentes som et regneark. Udfordringen er imidlertid at forstå, præcis hvad de enkelte kontroller betyder, og hvordan de skal omsættes til praksis.
Conscia havde en sikkerhedskonsulent, som var enormt vidende. Han var heller ikke bange for at gå lidt til os. Hvis vi svarede et eller andet, spurgte han ind til, om vi nu også var helt sikre på, at vi havde styr på det og det. Der var han benhård. Og det skulle han også være. Ellers giver øvelsen ingen mening. Vi skulle bruge et reelt billede af, hvor vi stod sikkerhedsmæssigt,
Kim Malchau
Digitaliserings- og indkøbschef i Odder Kommune
CIS-analysen opererer med en skala fra 0 til 5, hvor spændet mellem 2,0-2,5 anses som et fornuftigt sikkerhedsniveau. Efter den første CIS-gennemgang i november 2023 lå Odder Kommune på cirka 1,60, men har siden løftet sig til lidt over 2. Et klart fremskridt, men også et udtryk for, at arbejdet med at hæve sikkerhedsniveauet fortsætter.
Navngivne sikkerhedsforbedringer
De konkrete sikkerhedsanbefalinger i CIS-analysen pegede på en række tiltag, hvoraf nogle var kendte og nogle var nye for Odder Kommune.
Blandt andet blev implementering af tofaktor-autentifikation fremhævet som et vigtigt tiltag. Det var noget, Kim Malchau allerede var opmærksom på, men som efter analysen fik ekstra prioritet. Gennemgangen viste også et behov for at formalisere sikkerhedsarbejdet gennem nedskrevne sikkerhedspolitikker. Her var der plads til forbedring, fordi noget af sikkerhedsarbejdet i Odder Kommune tidligere havde været meget praksisbaseret. Derudover var der et behov for netværkssegmentering. Her har sikkerhedsteamet siden systematisk opdelt netværket for at begrænse risici og styrke den samlede sikkerhedsarkitektur.
Det var nogle af fokuspunkterne på den korte bane. På den lange bane har CIS-analysen været med til at ændre vores tilgang til sikkerhed. I dag er det noget, vi tænker ind i alt, hvad vi laver. Både når vi bygger noget nyt eller ændrer i noget eksisterende,
Kim Malchau
Digitaliserings- og indkøbschef i Odder Kommune
Derudover fortæller han, at CIS-analysen har gjort det muligt at koble kommunens sikkerhedsarbejde tættere til andre rammeværktøjer – såsom ISO 27000 – så de nu kan matche kontrollerne op mod hinanden og på den måde løbende styrke sikkerhedsarbejdet.
Gaven der bliver ved med at give
På et overordnet plan er Kim Malchau mere end tilfreds med udbyttet af CIS-analysen og alle de overvejelser og diskussioner, den har været med til at afføde i teamet.
Til de kommuner og andre organisationer, der endnu ikke har fået foretaget en CIS-analyse, vil jeg sige, at den for os absolut har været tiden og ressourcerne værd. Vores CIS-analyse har været gaven, der bliver ved med at give. Nu har jeg arbejdet med den i to og et halvt år. Det er sjældent, man kan bruge den samme rapport over så lang tid,
Kim Malchau
Digitaliserings- og indkøbschef i Odder Kommune
Han forklarer, at Odder Kommune – bl.a. sammen med Conscias konsulent – løbende arbejder videre med rapporten og opdaterer sikkerhedsanbefalingerne, så de fortsat flugter med trusselsbilledet, lovgivningskrav og kommende forretningsønsker.
Langsigtet samarbejde
Samarbejdet med Conscia har ifølge Kim Malchau fungeret godt, fordi udgangspunktet altid er det samme: Løse snakke og konkrete projekter skal fokusere på det, der giver Odder Kommune størst værdi, og som kan mærkes som sikkerhedsløft i hverdagen.
Jeg synes, der er en høj troværdighed i den måde, Conscia gør tingene på. For det første er vi blevet mødt af nogle mennesker, som virkelig kan deres metier. Fagligheden er helt i top. For det andet prøver de ikke at sælge mere til os, end vi har brug for. Den form for langsigtede tankegang kan vi godt lide,
Slutter Kim Malchau
Digitaliserings- og indkøbschef i Odder Kommune
