Övergripande säkerhetshantering har pilottestats med kunderna
10.08.2020

”Ett centralt mål i bedömningen av säkerhetsriskerna är att identifiera och bedöma säkerhetsrisker förknippade med lösningen, tjänsten eller systemet som utvecklas”, berättar Palkeets ledande dataskyddsexpert Sami Nikula. ”Följdriktig hantering av säkerhetsaspekten direkt i projektets inledande skede, innan upphandlingsbeslutet, är en modell som både är kostnadseffektiv och betjänar våra kunder”, fortsätter Sami. När alla behov och krav genast beaktas i det inledande skedet av upphandlingen, behöver man förhoppningsvis inte återkomma till dessa i ett senare skede. När mans kapar funktionella behov bereder man sig samtidigt på eventuella risker och kan även fördela resurserna i projektet på ett bättre sätt. I servicelösningar är det viktigt att förstå om kundbasens säkerhetsbehov kan genomföras med en lösning eller om en del kunder kräver en alternativ lösning. Efter upphandlingen görs en bedömning av datasäkerheten och riskhanteringen fortsätter under upphandlingens hela livslängd.
Den pilottestade modellen stöder kartläggningen och bedömningen av säkerhetsriskerna i utvecklingsprojekt på statlig nivå. Syftet med modellen är att hjälpa till att systematiskt och övergripande identifiera och bedöma risker under upphandlingarnas hela livslängd.
”Samarbetet med kunderna i den övergripande säkerhetshanteringen är särskilt viktigt för oss. Medverkan upptar även kundernas tid, men den genererar värdefull information för oss till utvecklingen av systemprojekt på statlig nivå”, tackar Sami. Konsultbyrån Pricewaterhouse Coopers har varit ett stöd i uppbyggandet och pilottestningen av modellen för övergripande säkerhet. Med pilottestningen underbygger man även förmåga inom Palkeet. I höst kommer projektchefer inom Palkeet att utbildas och modellen kommer att bli en permanent del av kommande upphandlingar av system- och servicelösningar.
Kundernas expertis är värdefull för utvecklingen av modellen
En heltäckande representation av säkerhetsmyndigheter har medverkat i pilottestningen av den övergripande säkerhetshanteringen i samband med reformen av rekryteringshelheten. Med anledning av verksamhetens natur har säkerhetsmyndigheter särskilda behov till exempel i sådana rekryteringar där den utlysta tjänstens hela innehåll inte kan publiceras direkt i det inledande skedet. Dessutom är det av yttersta vikt att skydda personuppgifter.
”Säkerhetsmyndigheternas omfattande representation från olika förvaltningsområden garanterade att säkerhetstänket är övergripande och att alla parters behov har beaktats”, tackar Försvarsmaktens dataskyddschef Kari Laitinen. ”Utöver det privata intresset har man i modellen beaktat det offentliga intresset, det vill säga verksamhetens natur vid säkerhetsmyndigheter, på ett bra sätt”, fortsätter han.
Även inom inrikesministeriets förvaltningsområde har denna pilottestade modell tagits väl emot.
”Detta skede i bedömningen av säkerheten och riskhanteringen i upphandlingen av servicelösningar är utan tvekan rätt”, säger inrikesministeriets säkerhetschef Kari Santalahti. Inrikesministeriets förvaltningsområde är mycket heterogent, då till exempel säkerhetspolisen arbetar med specialfrågor förknippade med informationssökning, medan Polisyrkeshögskolan å sin sida fokuserar på utbildning. Alla har dock omfattande behov bland annat av hantering av personuppgifter, även om tyngdpunkten skiljer sig något parterna emellan. Förvaltningsområdets interna samordning har alltid varit viktig för dem och under pilottestningen lyckades man väl med att beakta alla olika behov.
Coronasituationen förde med sig en egen uppsättning utmaningar för pilottestningsskedet, då man inte kunde ordna möten ansikte mot ansikte och distansuppkopplingarna krånglade en del i början. ”Helheten var dock lyckad och modellen för den övergripande säkerhetshanteringen blir säkerligen till nytta även i framtida systemupphandlingar. Riskerna och behoven för den övergripande säkerheten är dock allmängiltiga för säkerhetsmyndigheterna”, säger Kari Santalahti.
”Diskussionen var öppen och även de medverkande konsulterna medförde med sina synvinklar värdefullt mervärde till helheten. Vi deltar gärna även nästa gång då säkerhetsmyndigheternas synpunkter behövs i upphandlingen av servicelösningar”, fortsätter Kari Santalahti.