När Tripnets säkerhetschef Göran Sjöberg hälsade välkomna till höstens första Kunskapsfrukost bestod publiken – såväl på plats på Bergakungen som i livestreamen – av ett stort antal nyfikna och intresserade åhörare. Dagens ämne engagerar: ISO27001 – certifiering och revision. Men vad är egentligen ISO27001? Vad finns det för fördelar med att efterleva standarden? Vilka krav ställer ISO27001 på organisationen? Hur går det till att certifiera sig? Tillsammans med Per Gustavsson, CISO på Stratsys AB bjöd Göran på en morgon, fylld av inspiration, klokhet och insiktsfulla råd.
Säkerhetsfrågor är högaktuella. Anne-Marie Eklund Löwinder rankas som en av Sveriges främsta experter på informationssäkerhet. Hon är en av de fjorton betrodda människorna i världen som har en nyckel till internets hjärta, det vill säga domännamnssystemet DNS. I Sommar i P1 den 27 juli 2022 sa Anne-Marie ”DNS är internets vägvisare som guidar oss användare så att vi hamnar där vi tänkt oss eller där vi tror att vi är”.
– Det blir så tydligt för mig att ISO 27001 handlar om just tilltro till att all den information som vi både skickar och läser på nätet faktiskt är korrekt och säker, konstaterar Göran. Anne-Marie pratade om ceremonier, processer, rutiner och kontrollfunktioner och allt detta, tillsammans med olika tekniska säkerhetslösningar, är faktiskt det som tillsammans bygger vår tillit till den informationen vi får. På vår Kunskapsfrukost i våras berättade min kollega Marcelo Cáceres Longé, som är informationssäkerhetsansvarig hos oss, att en studie av Radar visar att bara 50 % av alla verksamheter anser att säkerhet är viktigt! Det är ju skrämmande, säger Göran.
Standarder i ISO 27000-serien är framtagna på att skydda information och omfattar också cybersäkerhet och dataskydd. Häri ingår ISO 27001 som är en standard med specifika krav för att upprätta, införa, underhålla och hela tiden förbättra din informations- och cybersäkerhet. Standarden innehåller generiska krav och passar alla organisationer, oavsett storlek eller bransch, men är främst riktad till de som hanterar känslig eller stora mängder information.
– När vi pratar om ISO 27001 pratar man tyvärr ofta om olika saker. Det är 27001 som är grunden och kravställan för att uppfylla standarden. Sedan finns det i 27000-serien även mängder med guider och dokument, exempelvis 27701 som handlar om personlig identifierbar information och 27005 som berör risk management, visar och berättar Per Gustavsson.
– Ofta misstar man sig och tror att dessa guidelines är tvingande. Så är det inte. Men – det är åtgärder man BÖR göra, betonar Per. Man kan se dem som bilagor med vägledning men i slutändan väljer man själv precis vilka säkerhetsåtgärder man vill vidta, förklarar Per. Däremot kan det vara en fördel att följa rekommendationerna, då det då blir lättare för en extern auditor att jämföra. Det enda som spelar roll är att man kan visa att man lever upp till de sju kravgrupperna i kapitel 4 till 10, förklarar Per.
ISO 27001 ger idel fördelar
För tio år sedan var det ingen som pratade om säkerhetscertifieringar. För fem år sedan började det blir ”nice-to-have”. Idag är det ett krav att kunna visa sina kunder att verksamheten håller hög kvalitet, även på detta område.
Proaktivt skydd för dina affärshemligheter och information är en given fördel, liksom vinsten i att ha ett effektivt ledningssystem för att kontinuerligt och systematiskt hantera incidenter händelser och ständig förbättring.
– Det är ju kraven som certifieringsorganet ställer på oss för att vi ska få vårt certifikat, säger Göran. Vi jobbar med riskbaserade säkerhetsåtgärder, det vill säga vi identifierar risker i vår verksamhet och sen beslutar vi oss för vilka åtgärder vi ska sätta in. Därmed har vi också bra kontroll över vilka investeringar vi måste göra i teknik. Kostnadseffektivitet, helt enkelt.
ISO 27001 ställer krav på organisationen
I organisationen behöver vissa processer finnas på plats. Det krävs att man analyserar och identifierar exempelvis omvärldsrisker och gap, sett ur ett informationssäkerhetsperspektiv. Därefter måste utforma hur ska vår organisation ska se ut, vilka mål man arbetar mot, handlingsplaner, styrdokument osv. Själva användandet handlar om att få organisationen att utbilda, kommunicera, genomföra, granska och övervaka. Slutligen uppföljning och förbättring, vilket är grund och syfte i certifieringar generellt.
Certifiering – steg för steg mot målet
Certifieringsarbetet börjar med planeringsdialog som innebär certifieringsorganet förbereder sig, läser in sig på befintlig dokumentation och ledningssystem för att förstå vad det är de ska revidera.
– Man bör göra en förrevision, föreslår Göran. Den kan antingen göras helt internt eller så tar man hjälp av någon från utsidan. Detta är ett trevligt sätt att förbereda sig inför den certifieringsrevisionen. I denna framkommer eventuella avvikelser som man ges chans att arbeta med och korrigera. Sen kommer det efterlängtade cerifikatet, säger Göran och ler. Då kan man direkt börja nyttja de affärsmässiga fördelarna; göra bättre och fler affärer!
Certifieringen handlar om ständig förbättring, vilket innebär att årliga revisioner leder fram till omcertifiering var tredje år.
– Låt mig berätta om ett exempel. Den verksamhet jag arbetar med just nu har vuxit så det knakat på sistone, så att inte döda kreativiteten med nödvändiga organisationsförändringar är jätteviktig. Här vill man ju att det rätta valet ska vara det lätta, berättar Per.
För att kartlägga organisationens förutsättningar finns det en del punkter att gå igenom och bocka av:
- Organisationens förutsättningar
- Ledarskap
- Planering
- Stöd
- Verksamhet
- Utvärdering av prestanda
- Förbättringar
– Att förstå verksamheten, hur de tjänar pengar, var de finns och, kanske ännu viktigare, få svar på frågan om ledningen, styrelsen och ägarna verkligen vill genomföra processen, är avgörande, menar Per. Det är också planeringen. Vi behöver enas om det är hela eller delar av verksamheten som ska certifieras. En annan avgörande faktor är utvärdering av ledningssystemet. Slutligen förbättringar, som återigen är kopplas till ledningssystemet; det man identifierat som i behov av förbättring och kontroll, beskriver Per.
Arbetet startar i ledningen
Ledningens insikt och ambition är A och O för framgångsrik certifiering. Processen måste också vara anpassad utifrån organisationens förutsättningar. Det gäller att ta hänsyn till interna processer och påverkande aspekter.
– Värt att tänka på är att denna standard är framtagen med utgångspunkten att det finns ett fysiskt kontor, men pandemin har ändrat på spelreglerna, säger Per. Vi sitter utspridda på många olika orter runt om i Sverige och grannländerna så för att slippa ta hänsyn till exempelvis norsk lagstiftning har vi valt att hantera allt utanför oss som om det var utanför Sverige. Dit hör tydligen också Skövde, där jag sitter, säger Per på sjungande Västgötska.
När det kommer till planering är det nödvändigt att förstå hur certifieringen är nyttig för verksamheten. Hur ger den något tillbaka? Hur räknar men hem investeringen? Att definiera målsättningar stöder processen och gör att man vet med större säkerhet att man gör rätt saker. Hur tar man då detta till att bli informationssäkerhet och dataskydd?
– Informationssäkerhet och dataskydd har bara en funktion enligt min mening och det är och skapa en lagom nivå av säkerhet, precis på gränsen, till minsta möjliga kostnad, intygar Per. Det är inget problem att bygga ett kärnkraftverk i den här processen men det är inte det som är målet. Vi vill säkerställa våra kunders krav på säkerhet, kvalitetssäkra produktutvecklingen och rakryggat kunna stå upp och svara att ”jo, men vi har plockat in en extern granskare som har tittat på oss och som säger att vi följer de processer vi har utlovat”. Målet är det kvitto som certifieringen gav oss. Därför gillar jag oanmälda inspektioner! De dyker upp när vi är som sämst, när vi är oförberedda. Om vi då lever upp till kraven – då är vi bra!!
Identifiera och fokusera på det som är mest affärskritiskt
För att identifiera de mest kritiska affärsprocesserna kan en workshop vara ett användbart verktyg.
– I vårt fall var det uppenbart att den största och direkt livshotande risken var ett eventuellt stillestånd, konstaterar Per. Vi skulle inte överleva att ligga nere två veckor. Med den insikten blev Tripnets kvalitet avgörande för oss. Jag minns att vi vid leverantörskontrollen till och med tittade hur mycket diesel som fanns i reservaggregatet, berättar Per. När jag kunde få ett transparent svar på hur länge Tripnet skulle hålla ut under ett strömavbrott kunde vi unna oss att vara helt lugna. Och att med egna ögon få se kapaciteten är häftigt Hur många har klappat ett dieselaggregat på Amazon eller Microsoft, skojar Per?
Alla måste dra sitt strå till stacken
Utifrån den mest affärskritiska processen kan man sedan, om man vill, förfina och hitta andra delar att kvalitetssäkra och certifiera, men det gäller att det finns resurser över tid. Det är också viktigt att involvera samtliga i organisationen. Alla medarbetare måste bidra på sitt område i arbetet
– I mitt exempel identifierade vi den överhängande affärsrisken i ett eventuellt stillestånd, men alla i organisationen behöver viss kompetens inom informationssäkerhet. Ta HR, till exempel. Vilka risker utsätter de sig för varje dag? Med rätt kunskap kommer de själva att hitta just sina risker och kan då få hjälp att facilitera, beskriver Per. Delaktigheten sitter i att det inte ska vara management som styr utan de som i vardagen annars bär smärtan, även om det inte är de som är de egentliga riskägarna.
En smidig lösning på internrevisioner är helt enkelt att göra en checklista. Beskriv den beslutade processen, låt någon kontrollera att den följs och om så inte är fallet, då läggs avvikelsen in i systemet. Det är mycket bättre att de som vet hur det fungerar gör auditen. Då gynnas delaktigheten och synergivinsten blir lärande om processerna där det gör nytta.
– Avvikelser är guld för förbättringsarbetet, tycker Per. Avvikelserna hjälper ju till, inte bara att hitta det som gäller informationssäkerhet utan det stöttar hela organisationens kvalitetsförbättringsarbete. saker utan det är ju för hela
Det finns en stor vinst i att gå en certifieringskurs för att få en känsla för alla de här delarna som man måste kunna – men också för att veta var man kan gena. Oavsett är valet av tidpunkt att påbörja certifieringsarbetet steg nummer ett.
– Det första du måste göra är att inse att det är bara att göra det! I och med att vi faktiskt använder oss löpande av information, är vi i någon mån maktlösa. Vi måste ha koll på det här, säger Per med eftertryck. En parallell som egentligen är på skämt men trots det gravallvarlig, och som ni som befinner er i medberoende på något sätt kan förstå och relatera till, är tolvstegsprogrammet. Väldigt mycket i det handlar om att man inte är ensam i detta. Vi kan utbyta erfarenheter, vi är beroende av varandra och vi är sparringpartners. När man vill landa i ordning och reda, när man vet worst case för sin verksamhet och när man tror att man faktiskt kan hantera jobbet – då är det dags att sätta igång.
Tripnet på väg mot 27001-certifikat
Tripnet har självklart valt att gå för 27001-certifiering och befinner sig just nu i fasen där organisationen ska entusiasmeras och där första offerten är inhämtad.
– Det blir en kul resa, säger Göran. Dessutom gillar vi på Tripnet verkligen när våra kunder kommer till oss och gör olika revisioner. Vi uppskattar det för vi lär oss alltid otroligt mycket då och vi får status på vårt eget dagsläge.
Några heta tips
Bestäm er!
– Funderar ni på det, har ni antagligen redan bestämt er.
Se avvikelser som guld
– En avvikelse från revisorn är kunskap att ta fasta på i förbättringsarbetet. Revisorn kan vara verksamhetens bästa vän.
Entusiasmera hela laget
– Tänk utifrån riskbaserad hantering, vilket kan vara omvälvande nytt för vissa. Alla från toppen och neråt måste vara med.
Besök informationssäkerhet.se
– MSB står bakom denna väldigt bra webbsida som ger värdefull kunskap på en tillräckligt bra nivå – en perfekt start.
Lyssna på Anne-Marie Eklund Löwinders sommarprat
– Ratta in Sommar i P1 från 27 juli 2022. Inspirerande och med bra verkshöjd och förklaring till vad detta egentligen handlar om.
Vi på Tripnet ser fram emot att genomföra den spännande certifieringsprocess som vi har framför oss. Vi tackar Per Gustavsson från Stratsys för ovärderliga råd i arbetet och hoppas att denna Kunskapsfrukost inspirerade många fler att påbörja arbetet med 27001.
Årets sista Kunskapsfrukost blir traditionsenligt en säker framtidsspaning från Radar då VD Hans Werner besöker oss och delar med sig av de insikter och förutsägelser som vi bör ta med oss in i 2023.
Varmt välkommen den 17 november!
