Vad har det med informationssäkerhet att göra?
Kommunens ledning fick efter branden uppgifter som sa att inga papper skulle kunna finnas kvar och gjorde då inte någon egen kontroll efteråt om det fanns känsligt material som inte brunnit upp.
Men det fanns kvar.
Inte roligt för någon.
Kommunen verkar efter händelsen, dvs när man fått reda på att information bokstavligen spridits för vinden, ha handlat på ett ganska bra sätt, men på grund av att de var lite okunniga och naiva kunde detta ske som inte får ske.
De hade inte förberett sig tillräckligt och hade bevisligen ingen testad, fungerande katastrofplan förberedd.
Hur skulle man ha gjort?
Visst är det lätt att vara efterklok och med facit i handen säga vad som borde ha gjorts. Men det är faktiskt precis vad riskanalyser är till för, att tänka igenom alla sannolika och osannolika scenario i förväg.
Hade man satt ett värde på informationen som förvarades på hemmet och ponerat att en brand kunnat ske, vilket inte är så långsökt, så hade steget inte varit långt till att göra en enkel checklista där någon hade fått ansvaret att personligen verifiera om det fanns kvar information i anslutning till att branden släkts.
Hammarö kommun har i mina ögon en hög fokus på informationssäkerhet så detta handlar inte om att racka ned på dem, snarare att belysa att även de som har lite koll på läget behöver höja sin nivå och faktiskt följa de rekommendationer som ges i standarder och samtidigt genomföra analyser och tester innan katastrofer händer.
Inga kommentarer:
Skicka en kommentar