Vad innebär egentligen säkerhet? Det funderade Ulf Persson,VD, Josef Wold, säljare, och Marcelo Cáceres Longé, informationssäkerhetsspecialist, på under ett lunchmöte på den nya Göteborgsdestinationen World of Volvo.
Ett gemensamt arbete
Säkerhet innebär ett stort samarbete mellan människor, både inom företaget och externt. Det räcker inte med att ett företag är måna om säkerheten, utan alla måste samarbeta för att säkerställa säkerhet i hela leverantörskedjan.
– Om vi brister så brister de, och tvärtom, säger Marcelo. Vi är rådgivare till våra kunder, men de är också rådgivare till oss, menar han. Om ett problem uppstår någonstans i kedjan drabbas många personer och företag. Det är därför väldigt viktigt att jobba tillsammans på ett säkert sätt och dela erfarenheter med varandra.
Att vara beredd på en katastrof
Katastrofövningar är ett bra sätt att testa sina system och öva på vad man ska göra i händelse av en katastrofsituation. Några exempel på katastrofer för ett företag som Tripnet kan vara hårdvarufel som gör att system blir otillgängliga eller som riskerar att starta en brand i en datorhall.
– Man behöver inte vänta tills det smäller för att se om det funkar, säger Ulf. Genom att öva på att hantera katastrofer blir man betydligt bättre på att se och förstå de risker som finns.
– Man hittar nya risker när man riskhanterar, berättar Marcelo, och man lär sig att hantera dem också. Ett scenario som man tidigare sett som det värsta som kan hända kanske egentligen inte är det.
Något som drabbade många människor var när företaget Crowdstrike skickade ut en felaktig uppdatering som orsakade ett globalt haveri. Detta var inte något som påverkade Tripnet, dels för att vi inte använder oss av Crowdstrike, men också för att vi hade lite tur. Incidenten fick många att tänka vidare, bland annat Ulf.
– Alla system kommer gå ner ibland, 100 % finns inte, säger Ulf. Man kan komma väldigt nära, men då kostar det mycket. Det handlar om att jämföra sannolikhet och konsekvens med kostnad. Han förklarar att han tycker att det är bättre att systemen är otillgängliga under en kortare tid än att man får dataintrång som riskerar att känslig information kommer på avvägar eller manipuleras. Det är informationssäkerhetens klassiska Tillgänglighet – Konfidentialitet – Integritet. Man ska lägga säkerheten på rätt nivå, och se till att man har koll på vad man väljer. Varken för lite eller för mycket. För varje komponent man tillför ökar skyddet, men även komplexiteten och risken för att något inte fungerar.
Hur förklarar man för kunderna?
Josef träffar många kunder i sin roll som säljare, och måste därför kunna förklara avancerade lösningar på ett enkelt sätt.
– När man äger orden så lär man sig att uttrycka det för kunden, menar Josef. Man måste själv förstå för att kunna förklara för andra, så att man inte bara upprepar tomma ord. Man kan använda sig mycket av exempel från verkligheten. Som att förklara varför saker är bra. Det är lätt att se säkerhet som en kostnad, när man kanske borde se den som en investering inför framtiden. Man får också ha tålamod, vi kan inte förvänta oss att kunden förstår direkt när vi har jobbat med detta så länge, fortsätter Josef.
– Till skillnad från Josef som är säljare så träffar jag som informationssäkerhetsspecialist mest personer som redan är insatta och intresserade, säger Marcelo. Det gör att det är enklare för mig att förklara och få folk att förstå vad jag pratar om. Kundernas trygghet är jätteviktig, när vi har kunder som är trygga är Tripnet ännu tryggare, säger Marcelo.
Kunskap – hos personal och i samhället
– För att kunna vara förberedd måste man förstå. Att vara medveten är en sak, att kunna gå i bevis är en annan, säger Marcelo. Det räcker inte bara att minimera risker, man måste också kunna se att man gör rätt. Genom att utbilda personal och öva på katastrofer kan man bevisa att man har koll och är förberedd.
– Alla på företaget har koll på säkerheten, som nya direktiv och liknande, berättar Josef. Det är inte bara systemingenjörerna som behöver ha koll, för att ha det så säkert som möjligt behöver hela personalen utbildas. Det är viktigt att veta vad man ska göra och vem man ska vända sig till om något händer, lyfter han fram. Tekniken är långt ifrån allt, det är också viktigt att följa säkerhetsrutiner.
– Det är inte bara på Tripnet som det är viktigt att ha koll på säkerheten. Vi mår bra av att det pratas mycket informationssäkerhet i samhället, säger Ulf. Inte minst i och med den värld vi lever i, med osäkerheter, cyberattacker och krig. På Tripnet ser vi med glädje att fokus och intresse för informationssäkerhet har ökat. Liksom livet är informations- och IT-säkerhet ett tillsammansprojekt. Tillsammans är vi starka och effektiva, avslutar Ulf.
PS: vi har en ny tjänst, Tabletop-katastrofövning med kund! Klicka här för att läsa mer om tjänsten och här för att läsa om när Blue Mobile Systems gjorde en sådan övning.
