Understøttelse af sårbarhedsvurdering til kommunens it-systemer
Gladsaxe Kommune har en indarbejdet metode, hvor it-ansvarlige og forretningens systemejere indgår i fælles vurderinger og rapportering af den risiko, der knytter sig til centrale systemer. I-Trust har i samarbejde med kommunen på enablor-platformen udarbejdet automatiserede processer til sårbarhedsvurdering og rapportering. Den nye løsning reducerer og effektiviserer i betydeligt omfang kommunens arbejde med emnet og fjerner de usikkerheder, der er i de nuværende manuelle processer.
Kommunen har som en del af deres overordnede strategi for persondata- og informationssikkerhed købt enablor som GRC-platform. Med udgangspunkt i igangværende opgaver i kommunen, der hidtil var understøttet af surveyværktøj og Excel, har I-Trust på enablor udarbejdet automatiserede processer til sårbarhedsvurdering og -rapportering af kommunens systemer. Den nye løsning reducerer og effektiviserer i betydeligt omfang kommunens arbejde med emnet og fjerner de usikkerheder, der er i de nuværende manuelle processer. Samtidigt integrerer det kommunens eksisterende metode for sårbarhedsvurdering med det generelle sikkerhedsarbejde, så kommunen på sigt kan integrere behandlinger fra fortegnelser så behandlingsomfang, risici, og konsekvenser kan indgå i eksisterende sårbarhedsvurderinger.
Yderligere vil kommunen på sigt kunne flytte dele af sårbarhedsvurderingen af det enkelte system til den understøttende infrastruktur eller leverandørforholdet. Dette vil effektivisere processen ved at vurdere hver leverandør/server/understøttende system én gang og anvende det i alle relevante systemrapporter. Ligeledes vil tilsyn udført i anden sammenhæng (leverandørtilsyn, GDPR-tilsyn i organisationen, deltagelse i Baselineundersøgelsen) kunne inddrages i den samlede risikovurdering uden behov for gentagelse af allerede foretaget arbejde.
Ud over at samle resultatet af forskellige sikkerhedsdicipliner på en platform, for at kunne genanvende dem i andre sammenhænge, effektiviserer eller muliggør enablor også samarbejdet mellem forskellige roller i kommunen. Informationssikkerhedskoordinatoren har overblikket. Den enkelte systemejer/systemansvarlige kan udføre sin del af opgaven ved sårbarhedsvurdering, it-fagfolk kan inddrages til vurdering af sikkerhed af infrastruktur og der kan dannes rapporter til ledelse og direktion.
