lördag 16 juni 2018

Säker hantering av information

För att prata om en säker hantering av information måste vi först göra vissa påståenden. Om vi helt enkelt antar att alla håller med om följande uttalande så kan vi fortsätta.

Utgångsläge:
  • Information är all data i tal och skrift vare sig det handlar känslig information, talad information, skriven på papper eller i ett IT-system, lagrad i papperskorgen eller i ett datavalv.
  • Informationen är en värdefull resurs för alla. För varje person i privatlivet, i det dagliga arbetet och i den egna verksamheten.
  • Information är värdelös om man inte kan använda den eller om man inte kan lita på den.
  • Vi kan inte lita på information om vi vem som gjort något med den och inte vet vad som hänt med den.
Min sammanfattning
De uppgifter som utförs av företag, myndigheter, kommuner och landsting förutsätter att information inkommer, bearbetas, kommuniceras, lagras samt skyddas på ett sätt som garanterar innehåll, sammanhang och äkthet. -Inte en så dålig formulering tycker jag. Kan vi komma överens om det, i iallafall just nu? 

- Bra. Då går vi vidare.

Hur gör vi för att kunna hantera information säkert?

Trots att informationshanteringen är en så viktig fråga kan det vara svårt att åstadkomma rätt grad av styrning när det gäller hur informationen ska och får hanteras. Första steget för att kunna skydda och effektivt nyttja den viktiga resurs som informationen utgör är alltså att analysera vilken information som faktiskt hanteras och på vilket sätt det sker. 

- Det är väl ganska mycket vanligt bondförnuft att om vi ska kunna skydda något måste vi veta vad det är och var? Jag tycker därför att det logiska måste vara att först kartlägga all information som hanteras och var. 

Kartlägg all information

Vi måste börja med följande:
  1. Analysera vilken information som hanteras
  2. Analysera var och hur informationen hanteras
Det vill säga att kartlägga och analysera den information som organisationen är beroende av och skapa en tydlig bild av vilken information det är samt vilka system och tjänster som används för att hantera informationen.

En kartläggning av informationsflödet måste därför ta hänsyn inte bara till hur informationen kommuniceras och lagras inom den egna organisationen utan också till vilka externa aktörer och resurser som är involverade. Det kan ske i större eller mindre skala, från outsourcing till användande av kommersiella molntjänster för exempelvis lagring.

Ytterligare en aspekt att ta hänsyn till är de kanaler som mer eller mindre aktivt väljs för kommunikation, till exempel sociala medier eller sms. För att kunna få grepp om vilken information som organisationen skapar och utnyttjar är nödvändigt att identifiera och analysera  samtliga verksamhetsprocesser. 

Kartlägg all verksamhetsprocesserna

Processerna är den naturliga beskrivningen av en verksamhet. Därför är processbeskrivningar det enklaste sättet att åskådliggöra en organisations informationsflöden. Genom att beskriva verksamheten i processer blir det lättare att förstå hur helheten samverkar för att skapar värde för organisationen. - För att processbeskrivningar ska hålla över tiden beskrivs de som regel ur ett organisationsoberoende perspektiv. 

Processen visar alltså vad som ska göras oavsett vem som gör det. -Betrakta en process som en struktur av aktiviteter. 

Processerna förverkligar verksamhetsmålen genom att beskriva:
  • varför en verksamhet finns till (vilka behov som ska tillfredsställas)
  • vad som ska produceras (processernas output)
  • hur detta ska gå till (aktiviteter, resurser, information och deras relationer till varandra).
- Annorlunda uttryckt, processer är egentligen inget annat än ett gemensamt
arbetssätt. 

I kartläggningen ska det ingå en beskrivning av verksamhetsprocesserna, de informationsflöden som stödjer dessa samt av de resurser som används för att hantera informationen.

Eftersom  processkartläggning är en aktivitet som kan genomföras på olika sätt och med olika syften bör det understrykas att vi i denna kartläggning inte avser att ge stöd för verksamhetsutveckling eller organisationsförändringar. Avsikten är istället att göra en analys av befintliga processer och den information som används för att stödja processerna. 

En processkartläggning beskrivs lättast av tre lager:
  1. Verksamhetslagret, där man beskriver en organisations verksamhet och hur olika delar samverkar med varandra genom exempelvis målstrukturer, begreppsmodeller och processmodeller.
  2. Informationslagret, där man beskriver de informationsmängder som skapas och används i processen.
  3. Informationsbärarlagret, där man beskriver de informationsbärare/kanaler där processens information hanteras och lagras. Informationsbärarlagret kan bestå av andra bärare än just IT-system, till exempel papper eller telefoni.
- Informationslagret och informationsbärarlagret kan också beskriva externa tjänster som till exempel molntjänster för lagring. 

Processer kan beskrivas enbart med text, men en visuell beskrivning ökar tydligheten och överskådligheten. För att förstå en verksamhetsprocess krävs att varje delprocess har välavgränsade aktiviteter. Om dessa aktiviteter saknas är processerna bara begrepp som kan tolkas olika av olika betraktare.

En viktig faktor är också att detaljeringsnivån på aktiviteterna ska vara balanserad. Aktiviteter (eller aktivitetssteg om man så vill) ska beskrivas på en generell nivå och därefter kan vid behov fördjupningar göras.

- Behoven styr detaljeringsgraden och perspektiv. Har man inget behov av att illustrera aktiviteter, utan vill fokusera på informationsflödena, så gör man det. Vill man använda processmodellen som konkret stöd i hanteringen av information kan uppgifter om gallring, sekretess med mera läggas till.

Att genomföra en ändamålsenlig kartläggning

För att genomföra en ändamålsenlig kartläggning behövs både verksamhetskunskap och metodkunskap. Dessutom kan olika specialister behövas för att de frågeställningar som behandlas ska få sin rätta belysning. Det kan till exempel behövas juridisk bakgrund för att legala kravställningar ska kunna behandlas.

Ett annat exempel är medarbetare från it-funktionen kan behöva delta för förståelsen av hur informationslagret utnyttjar informationsbärarlagret. Sammantaget är det viktigt att se att kartläggningen av informationshanteringen i verksamhetens processer inte är en ensam skrivbordsövning utan att den mest lämpliga formen är en workshop där olika kompetenser kan samverka för bästa resultat.

För att en workshop ska fungera bra och kännas meningsfull för deltagarna krävs att den är väl förberedd. Det krävs också att deltagarna känner sig trygga i sina respektive uppgifter och är förberedda på vad de förväntas bidra med i workshopen. - Att klargöra "rollspelet" för deltagarna är därför en viktig del i förberedelserna.

Bemanning av workshop

Innan det är möjligt att börja bemanna och förbereda workshopen måste ett viktigt steg tas, nämligen att bestämma vilken process som ska kartläggas.

Det kan verka enkelt men leder ofta till frågor som bör vara lösta innan förberedelser kan inledas. Vanliga fällor är att organisation träder framför process eller att man inte sätter upp en tydlig avgränsning för den process som ska kartläggas.
Avgränsingar
Definition och avgränsning av processen ger underlaget för vilka aktörer som ska delta och vilka förberedelser som bör göras. Hur själva kartläggningen ska utformas beror på den aktuella verksamhetens organisation och regelverk.

Processkartläggningar bör ses som en rutin som genomförs regelbundet och det är därför bra om det finns dokumenterade regler för hur en kartläggning ska vara utformad. 

Roller

Med samma reservation som ovan, att allt beror på den egna organisationens
förutsättningar, kan ändå fyra rolltyper ses som lämpliga:

  1. Verksamhetsrepresentanter
  2. Specialister
  3. Analysledare
  4. Sekreterare
Verksamhetsrepresentanter
När det gäller informationssäkerhet används ofta begreppet informationsägare, d.v.s. den som har ansvar för en viss verksamhet har också ansvar för informationshanteringen. Under ideala former är informationsägaren delaktig i kartläggningen eftersom det ju är han eller hon som ytterst är den som bäst kan bedöma vilken funktion och betydelse en viss informationsmängd har för verksamheten. 

Detta är inte alltid möjligt att få till stånd och då är alternativet att välja verksamhetsrepresentanter som både har djupare kunskap om den aktuella processen och som har ett stort förtroende hos informationsägaren. 

Förtroendet är viktigt för att de bedömningar som görs ska ha fäste hos den som har ansvar för processen. Om den processen passerar organisatoriska gränser måste detta avspeglas i bemanningen av workshopen så att de olika organisatoriska enheternas intressen tillvaratas.

Specialister
Beroende på vilken process som kartläggs kan olika typer av specialister vara lämpliga deltagare.

Förutom arkivarier och informationssäkerhetsansvariga bör bland annat följande specialister övervägas som deltagare:
  • jurist
  • it-ansvarig
  • kvalitetsansvarig
  • personuppgiftsombud.
Analysledare
För att workshopen ska fungera måste den ledas av någon som utgör metodstöd, här kallad analysledare. Analysledaren kan vara arkivarie eller informationssäkerhetsansvarig men också en inhyrd expert. Det viktiga är att analysledaren besitter rätt kompetens och personliga egenskaper för att kunna leda kartläggningen på ett bra sätt. 

De personliga egenskaperna är viktiga eftersom analysledaren är ansvarig för att förbereda och genomföra workshopen samt för att säkerställa att det finns ett dokumenterat resultat av workshopen. För att klara detta bör man vara strukturerad och analytisk som person, kunna leda och entusiasmera en grupp samt kunna förstå verksamhetens behov. 

Kompetensmässigt bör analysledaren vara kunnig inom informationshantering och processkartläggning.

Sekreterare
Även om diskussionerna under en workshop i sig kan skapa samförstånd och nya insikter är det också viktigt att workshopen efterlämnar mer bestående resultat, som en ordentlig dokumentation. 

Dokumentationen kan innehålla visuella beskrivningar av den kartlagda processen men som tidigare påpekats används den bildmässiga beskrivningen av processen i första hand som stöd för en analys.

Huvudsaken är alltså de resonemang och slutsatser som framkommer under kartläggningen. Detta kräver en insats under själva workshopen som analysledaren knappast hinner med. Att ha en medarbetare som fungerar som sekreterare har en kvalitetshöjande effekt både på workshopen, eftersom analysledaren då kan koncentrera sig på sin uppgift, och sekreteraren på den rapport som bör vara resultatet från workshopen.

Förberedelser

Analysledaren bör ha ansvar även för förberedelsefasen för att få systematik i arbetet och för att de verksamhetsansvariga inte ska tyngas av uppgifter som de inte har rutin på att utföra. 

I korthet kan förberedelserna delas in i följande steg: 
  1. Överenskommelse om att kartläggning ska ske mellan informationsägare eller motsvarande funktion och den organisatoriska enhet som ansvarar för kartläggning av processer. I överenskommelsen ska ingå en tydlig avgränsning av vilken process som ska kartläggas. 
  2. Analysledaren fördjupar sig i processen och dess förutsättningar. Här ingår även förslag på tidsomfattning för workshop, vanligen 3-4 timmar. Därefter skickas förslag på tid och deltagare till informationsägare eller motsvarande funktion för godkännande. 
  3. Efter godkännande samlar analysledaren in det bakgrundsmaterial som kan vara relevant i sammanhanget. 
  4. Inbjudan skickas ut med tydlig beskrivning av syfte med och utformning av workshopen. 
  5. Analysledaren förbereder workshopen med rum, materiel och eventuell förtäring.
    - Dessutom bör naturligtvis analysledaren och den medarbetare som ska fungera som sekreterare tillsammans förbereda arbetsfördelningen och gå igenom de förväntningar man har på varandra.

Genomförande

Förslagsvis används notis-lappar och whiteboard för att beskriva aktiviteterna i processen för att uppnå stor flexibilitet.

Analysledaren ska ha ett positivt förhållningssätt men också kunna ställa penetrerande frågor för att motverka den eventuella hemmablindhet som kan finnas hos de deltagare som har verksamhetskunskap.

Vid workshopen är det viktigt att analysledaren är uppmärksam på styrande faktorer och tar ett ansvar för att analysera dessa närmare med stöd av specialistkompetens som till exempel en deltagande jurist. Likaså bör viktiga tekniska sammanhang klarläggas med hjälp av it-ansvariga.

Sekreteraren antecknar och sammanställer de gemensamma ställningstaganden
som görs under kartläggningen.

-Men det finns också vissa generella aspekter som bör regleras. Exempel på detta är hur kartläggningarna ska förvaltas och återanvändas. 

Kvalitetskontroll

När analysledaren och sekreteraren är klara med rapporten efter workshopen bör denna kvalitetskontrolleras med den grupp som deltog i workshopen och med informationsägaren. 

Ett bra tillvägagångssätt är att gruppen återsamlas för ett kortare möte med genomgång av rapporten där deltagarna får bedöma hur väl den överensstämmer med deras uppfattning. 

- Om informationsägaren inte deltar bör hon eller han få möjlighet att godkänna
kartläggningen på något annat sätt.

Och sedan?

I kommande inlägg beskrivs hur Processorienterad informationskartläggning är ett gemensamt intresse för arkiv och informationssäkerhet och hur kartläggningen kan användas i arkivhanteringen samt i arbetet med att förbättra informationssäkerheten. 

- En rekommendation är ju att kartläggningarna sker på ett rutinmässigt sätt och att processer gås igenom regelbundet. Därför behövs bland annat versions- och ändringshantering.