Politihøgskolen – Trygt fra server til sky2018-08-24T14:22:42+00:00
Mari Jacobsen, prosjektleder ved IKT-seksjonen ved Politihøgskolen

Mari Jacobsen, prosjektleder ved IKT-seksjonen ved Politihøgskolen

SIKKER SAMHANDLING I SKYEN

Stadig mer informasjon lagres «i skyen» i stedet for på lokale servere. Dette byr på nye sikkerhetsutfordringer, men gir også muligheter for enkel og sikker samhandling.

Enable har ledet arbeidet med å utvikle en god praksis for hvordan universitets- og høgskolesektoren skal behandle sensitive data og hvordan teknologien kan støtte denne praksisen. Prosjektgruppen bestod av UNINETT, Microsoft, NTNU, Politihøgskolen, Nord universitet og Universitetet i Agder.

— Enable arrangerte sammen med Politihøgskolen et planleggingsmøte i forbindelse med UNINETT-dagene i 2017. Vi så raskt at dette hadde interesse for hele sektoren, og UNINETT kom inn som bestiller av arbeidet med å utarbeide en god praksis, forteller Mari Jacobsen, prosjektleder ved IKT-seksjonen ved Politihøgskolen.

Ansatte ved Politihøgskolen har behov for samarbeid internt i organisasjonen, med andre innen utdanningssektoren, politisektoren og andre eksterne samarbeidspartnere.

— Vi hadde ikke et godt og trygt samhandlingsverktøy på plass, så det var i ferd med å utvikle seg ulike praksiser, hvor både epost, Dropbox og andre skyggeløsninger ble tatt i bruk. Vi startet derfor prosjektet «Fra fil til sky» for å sikre tilgjengelighet, samtidig som sikker lagring ivaretas. Mange er i dag vant til å jobbe med nettbrett og på mobilen, så mobile enheter må kunne brukes, fortsetter hun.

Mange har en følelse av at det som lagres i skyen er lite konkret, og at de vil miste kontroll.

— For oss er det viktig å være sikre på at konfidensialitet og integritet ivaretas samtidig som vi oppnår tilgjengelighet og brukervennlighet. Det er behov for å sikre ulike grader av fortrolighet, også utenfor sak/arkiv-system, understreker Jacobsen.

Snorre Jensen fra Enable ledet arbeidet med å utvikle en god praksis for sektoren. Denne er nå tilgjengelig for alle som er interesserte. Jensen blir nå ofte bedt om å presentere rapporten i ulike fora.

— I arbeidet har vi både sett på informasjon som tidligere er lagret på sikre servere, men også på det som lagres lokalt på pc-er samt det som sendes per e-post, forklarer han.

Office 365 gir mulighet for en todelt løsning. Det kan legges inn klassifisering i det enkelte dokument, samtidig kan hele områder sikres slik at alt som legges inn dit automatisk får den bestemte klassifiseringen. På denne måten er også enkeltpersoner i stand til å beskytte innhold.

Grupper eller prosjekter kan i tillegg pålegges føringer som sikrer innholdet uavhengig av enkeltpersoner.

INTERN BEVISSTHET

Et prosjekt som dette er ikke først og fremst et IKT-prosjekt, men et prosjekt for hele organisasjonen.

— Vi trenger en bevisstgjøring i organisasjonen og klare kriterier for hvilke rutiner som skal følges. Målet er at den som har «tjenstlig behov» skal få adgang, men ingen andre. Tilgang bør derfor også kunne spores, sier Jacobsen.

Politihøgskolen har fått på plass bedre muligheter for samarbeid gjennom OneDrive og Teams. Nå blir informasjonen samlet ett sted og behovet for gjenfinnbarhet og versjonskontroll ivaretatt, samtidig som vi kan unngå unødvendige kopier av dokumenter.

Politihøgskolen er nå inne i en fase to av prosjektet der de jobber med:

  • Avdelingsrom
  • Sikker lagring
  • Utarbeiding av en Exit-strategi
  • Forvaltning av O365-løsningen

— Vi har nå avdelingsrom i skyen, der fire piloter – enheter og seksjoner ved Politihøgskolen – er med. Dette arbeidet og deres evaluering er med på å definere hvordan vi skal arbeide hos oss.

Målet er å effektivisere hverdagen og arbeidsprosessene våre, samtidig som nødvendig informasjon er tilgjengelig slik at vi kan bruke moderne arbeidsmåter med mobile enheter, sier Jacobsen.

EGEN TILPASNING

I standarden som er utviklet er det fem klassifiseringsnivåer:

  • Privat
  • Åpen
  • Intern
  • Fortrolig
  • Strengt fortrolig

Disse kan organisasjonen selv navngi og bestemme hva som skal skje innenfor hver enkel klassifisering.

— Ulike organisasjoner har ulik oppfatning av begreper. Vi må for eksempel forholde oss til begrepet «fortrolig» fra Sikkerhetsloven, så det vil være forvirrende å legge inn en annen definisjon her. For andre kan begrepene defineres friere, eller tilpasses deres tidligere praksis, sier Jacobsen.

Politihøgskolen har blitt enige om disse klassifiseringene:

  • Åpen
  • Internt
  • Sensitiv
  • Særlig sensitiv
  • Skjermingsverdig

De kan lagre åpent, internt og sensitivt i skyen.

Det er i samarbeidet om «Sikker samhandling i skyen» utarbeidet et dokument for god praksis, som vi vil bygge videre på.

Det er svært enkelt for ansatte å klassifisere dokumenter. I toppmenyen i for eksempel Word kommer alternativene opp. Velger du «Fortrolig», kan ikke dokumentet åpnes av uvedkommende, selv om det blir sendt på epost. Det kan åpnes av de som inviteres, men de kan ikke sende dokumentet videre.

— Dette ligger innebygget i Office 365, men må skrues på og aktiveres. Samtidig legges det inn hva som skal skje med dokumenter med de ulike klassifiseringene, som hvor de skal lagres og hva slags pålogging som trengs for å åpne dem, utdyper Jensen.

TRYGT OG GODT SAMARBEID

– Vi gjennomførte en ordinær anskaffelsesprosess som Enable vant og har hatt et meget godt samarbeid med Enable, og Snorre Jensen som prosjektleder. De har god kjennskap til sektoren og kan derfor bygge videre på erfaringer fra andre. De har jobbet tett med NTNU som ligger foran, og nå kommer det mange like etter. Vi åpner også for å dele våre løsninger med andre innenfor sektoren, på denne måten kommer vi mye lengre enn om alle skal begynne fra start, sier Jacobsen.

— Av og til sitter en IT-avdeling litt fast selv, og trenger noen med erfaring som kan bidra med forslag til løsninger. Jeg vet at vi gjerne ville sett på andres løsninger da vi gikk i gang med dette, sier Jacobsen.

Allerede ved innføring av Teams hvor dokumentasjon ligger samlet for alle som skal ha tilgang, er det mye sikrere enn tidligere da alle eksterne måtte få tilsendt dokumenter per e-post.

— Det er viktig å komme tidlig i gang, så ikke andre, og usikre, løsninger får etablert seg, påpeker Jacobsen.

Innføring av skybaserte løsninger blir med dette en tryggere løsning enn den serverbaserte løsningen, som ikke lenger fungerer så godt i praksis.