The Tripnet Story – Den ständiga strävan att bli bättre med informationssäkerhet och ISO27000

15 juni, 2024

The Tripnet Story – Den ständiga strävan att bli bättre

– I min roll som VD och grundare av Tripnet har jag alltid haft en brinnande passion för att förbättra och effektivisera vår verksamhet. Att leverera kvalitet handlar om att leverera rätt kvalitet. För låg kvalitet är självklart inte bra, men inte heller för hög kvalitet där kostnad eller tidsåtgång riskerar att skena i väg. Det gäller att hitta rätt nivå, att alla parter har samma förväntan och att man håller den avtalade kvalitetsnivån. Balansen är avgörande, och det är här jag har lagt mitt fokus genom åren.

Så låt mig, Ulf Persson, berätta min och bolagets story om kvalitet, ständiga förbättringar och hur vi effektiviserat verksamheten med bra ledningssystem.

Min och Tripnets resa med kvalitetssystem

Min första kontakt med kvalitetssystem vad 1990 när vi på Teleste Marine Communication AB började arbeta med kvalitet och ISO 9001. På denna tid var ISO 9001 ganska nytt och det som alla skulle använda när man pratade om kvalitet. Jag hade redan då förmånen att arbeta tillsammans med Göran Sjöberg, som idag är operativ chef på Tripnet, och vara delaktig i Telestes införande av ISO 9001. Det fanns inga krav på certifiering utan arbetet byggde, som jag uppfattade det på en genuin vilja till förbättring.

ISO 9001 - Denna internationella standard för kvalitetsledningssystem är utformad för att hjälpa organisationer att säkerställa att de kontinuerligt uppfyller kund- och andra intressenters krav samtidigt som de strävar efter att förbättra sin prestanda. ISO 9001 är grundläggande för att skapa en kultur av kvalitet och kontinuerlig förbättring. Genom att följa denna standard kan organisationer dra nytta av effektivare processer, högre kundnöjdhet, minskade fel, och en starkare marknadsposition.

Jag tog sedan med mig detta tänk när vi startade Tripnet AB. Vårt första kvalitetsdokument var en kontaktblankett för att dokumentera och följa upp frågeställningar från kund. Ett dokument som jag varit med och skapat på Teleste för att hantera serviceförfrågningar från kunder, som nu kom i en nyreinkarnation på Tripnet. I slutet på 90-talet tog vi även in Lennart Löfgren, samma konsult som Teleste anlitat, för att hjälpa oss utveckla Tripnets kvalitetssystem baserat på ISO 9001. På den tiden var det stort fokus på att man hade kvalitetsansvarig och kvalitetspärm, speciellt viktig var då originalpärmen där dokumenten var signerade i original. Lennart tyckte det var spännande att vi hade kvalitetssystemet på vårt Intranet, men pärm – det var ett krav.

130221_174751_blog-300x300.jpg
Centralen2-298x300
HDS-1-DSCN0975-300x300

Expansionen till IT-säkerhet

Snart stötte jag på den brittiska standarden BS 7799 och en bok från Studentlitteratur som direkt relaterade till Tripnets verksamhet. Detta var en standard som direkt relaterade till Tripnets verksamhet och jag skrev flera processer baserat på denna standard. Här handlade det om ett tydligt fokus på fysisk och IT-säkerhet, och de processer som hjälper till att hålla rätt kvalitetsnivå. Inte massa onödiga formalia som man ibland kunde uppleva med ISO 9001, speciellt för oss unga entreprenörer på Tripnet.

BS 7799 - Denna standard fokuserar på bästa praxis för informationssäkerhetshantering. Genom att införa de processer och kontroller som rekommenderas i BS 7799 kan organisationer bättre skydda konfidentiell och känslig information, minska risken för säkerhetsincidenter, och upprätthålla förtroende hos kunder och affärspartners. Fördelarna sträcker sig från förbättrad säkerhetsmedvetenhet bland personalen till starkare kontroll över IT-miljöer och efterlevnad av lagar och regleringar. BS7799 är grunden till dagens ISO 27002, dvs. referensdokumentet för uttalande om tillämplighet (UOT/SOA) i ISO 27001.

IMG_1868-Edit

ITIL- GM:s revision var ett avgörande ögonblick.

Sen kom jag ganska tidig över vad som kan vara den första boken på svenska om ITIL, och blev förälskad. Tripnets första ITIL-process var incidentprocessen. Vår första incidentprocess skrev jag på 60 minuter dagen innan en revision från General Motors. Vi hade självklart processer för att hantera incidenter tidigare, men vi kallade den något annat...

ITIL (Information Technology Infrastructure Library) - ITIL erbjuder ett detaljerat ramverk för att hantera IT-tjänster och riktar sig mot att anpassa IT-resurser med affärsbehov. Genom att implementera ITIL-principer kan organisationer dra nytta av förbättrad serviceleverans, ökad kundtillfredsställelse, effektivare resursanvändning, och en tydligare syn på IT-kostnader och tillgångar. ITIL hjälper också till att standardisera processer vilket leder till mindre slöseri och mer förutsägbara serviceutfall.

General Motors upptäckte att de hade en leverantör till Saab Automobile som hette Tripnet. Det system som snurrade i vårt datacenter var tydligen … ganska viktigt. Så GM bestämde sig för att göra en Audit på plats i Göteborg hos både systemutvecklaren och Tripnet. De kände att det kanske inte var nödvändigt att flyga in det amerikanska audit-teamet så de snabbutbildade två tyskar som fick åka till Göteborg.

Som vanligt så kom det en lång lista med frågor som vi skulle svara på och jag insåg ganska snabbt att det var rätt förvirrat att vi använde olika terminologi, Tripnet, systemutvecklaren och kunden. Så jag fixade lite snabbt några ”nya” processer för att detta skulle bli riktigt bra. Jag insåg även att GM använde ITIL-terminologi och framför allt pratade om Incident, Problem och Change. Passade mig perfekt då jag redan var såld på detta. Med ITIL så pratade Tripnet samma språk som kvalitets-revisorerna från GM!

Revisionen skulle vara en heldag, de började med förmiddagen hos systemutvecklaren, gemensam lunch och sen skulle eftermiddagen avslutas på Tripnet med besök i datorhall etc. Vi hade precis byggt Site2, med en ny kundatorhall som revisorerna blev väldigt förtjusta över. Hallen såg ut precis som en datorhall ska göra, ljus, trevlig, välstädad, välgenomtänkt säkerhet etc. De lyfte på golvplattor och imponerades av hur vi sektionerat hall och teknikrum avseende läckage av köldbärare. Eftersom vi redan snackat ITIL-processer under förmiddagen åkte de supernöjda revisorerna hem några timmar tidigare än planerat. Högsta betyg till webbutvecklaren och oss på Tripnet!

_B1A9742 png

Införandet av ISO 20000

ISO 20000 blev nästa steg, en standard som verkade skräddarsydd för Tripnet med sina klara och koncisa krav. Standarden är extremt kort och har bara skall krav. Detta är en stor skillnad mot ITIL som är en Best Practice, med från början 8 böcker, som blivit fler och fler. ISO 20000 är 15 sidor, med skall krav, inget mer! Vi omarbetade våra mest centrala processer efter denna standard, med fokus på funktionen Servicedesk med de centrala processerna Incident, Problem, Change, Service Request.

ISO 20000 - Som en internationell standard för IT-tjänstehantering fokuserar ISO 20 000 på att säkerställa att IT-tjänster levereras i enlighet med affärsbehoven och på ett kostnadseffektivt sätt. Fördelar med att följa ISO 20000 inkluderar förbättrad IT-styrning, effektivare serviceleverans, minskad risk för tjänstestörningar, och förbättrad kundtillfredsställelse. Standarden främjar också en kultur av kontinuerlig förbättring och bidrar till att stärka företagets konkurrenskraft.

Att styra hela verksamheten, ISO 27001.

År 2018 tog vi steget att bygga ett ledningssystem för informationssäkerhet baserat på ISO 27001. Syftet var inte initialt certifiering utan att bli bättre och mer effektiva. Detta arbete var betydligt mer omfattande än dessa få meningar men skapade en fantastisk grund för vårt GDPR-införande och framtida certifieringsarbete. I samband med denna satsning anställdes Marcelo Cáceres Longé som Informationssäkerhetsansvarig.

ISO 27001 - ISO 27001 är en omfattande standard för informationssäkerhetsledningssystem som hjälper organisationer att skydda sin information på ett systematiskt och kostnadseffektivt sätt. Genom att införa ISO 27001 kan företag identifiera, bedöma och hantera informationssäkerhetsrisker på ett proaktivt sätt. Fördelarna inkluderar starkare skydd mot cyberhot, förbättrad affärsresilience, ökat kundförtroende, och bättre efterlevnad av regulatoriska och kontraktsmässiga krav. Dessutom kan en ISO 27001-certifiering fungera som ett kraftfullt marknadsföringsverktyg och visa att företaget tar informationssäkerhet på allvar.

IMG_5443

Dags för en certifiering av hela verksamheten

I början av 2022 önskade några av våra kunder att vi skulle certifiera oss. Så då fattade vi beslutet att ISO 27001 certifiera vårt ledningssystem för informationssäkerhet och utvidga omfattningen till hela verksamheten. Vi hade många väl fungerande processer på plats som bara kunde lyftas in, samtidigt fanns det många goda idéer som vi anammade och vi har bland annat utvecklat riskhanteringsprocessen till en enklare, bättre och effektivare process. Även vår tidigare process med leverantörsutvärderingar, genom samtal på krogen eller över en lunch, har ersatts med en mer formell process. Men, det utesluter självklart inte att Tripnet bjuder en leverantör på middag ibland.

– Att göra en översyn av i stort sett alla kvalitetsdokument man har, är en väldigt nyttig övning. Det har kostat oss en hel del tid, men det är en investering som jag är övertygad om att våra kunder kommer att uppskatta. Vi har dessutom redan sett ökad effektivitet som direkt gagnar våra kunder och deras slutkunder.

Göran Sjöberg, ansvarig för certifieringsprojekt och säkerhetscchef.

Tripnet valde att använda Samcert AB och deras ramverk för att underlätta certifieringsprocessen. Samcert har ett ramverk som i sig är certifierat, vilket innebär att vårt arbete underlättas. Det gav oss möjlighet att fokusera på att integrera befintliga processer, med nya idéer, effektivt. När vi integrerar Samcerts tjänster i vår resa mot förbättrad informationssäkerhet och effektivitet kombinerar vi deras 20 års erfarenhet med våra 29. Vi får en beprövad metodik som är skräddarsydd för små till medelstora företag​​. Samtidigt som den anpassas för att hantera våra medelstora och stora kunder. Fördelarna med att välja Samcert sträcker sig från bättre struktur och dokumentation till ökad konkurrenskraft och en mer attraktiv arbetsplats​​. Deras filosofi betonar enkelhet och att lägga till affärsvärde utan att kompromissa med kvaliteten, vilket säkerställer att processerna anpassas efter företagets behov och bidrar till en långsiktig hållbarhet​​. Detta partnerskap kommer inte bara att stärka vår förmåga att möta och överträffa våra kunders förväntningar men även positionera oss som en ledare inom vår bransch.

Tomten kommer från Borås

Vi hade vår certifieringsrevision i början av december 2023, vecken efteråt svarade vi på de 12 mindre avvikelser vi fått. Lite dialog med revisorn och 21 december fick vi vårt certifikat från RISE i Borås. Då kändes det väldigt skönt att ta julledigt.

IMG_0516 2048
Ulf och SÄPO

Framtiden och ständiga förbättringar

Att leda Tripnet genom dessa utvecklingsfaser har varit en resa av ständig förändring och ständiga förbättringar. Vi har gått från enkla dokumentationssystem till att omfamna och integrera komplexa kvalitets- och säkerhetsstandarder. Varje steg har varit en läroprocess, och varje förändring har drivits av en önskan att inte bara möta utan överträffa våra kunders förväntningar.

Vår framtid ligger i att fortsätta denna resa, att aldrig nöja oss, och att alltid sträva efter högre effektivitet och bättre service. Som VD för Tripnet är jag stolt över vad vi har uppnått och entusiastisk över vad framtiden har att erbjuda.

 

/Ulf Persson minns och reflekterar.

PS. Tveka inte att höra av dig till mig och mina kollegor om du är nyfiken på vår resa eller hur vi kan hjälpa dig. Vi är många som gillar både kaffe och att prata informationssäkerhet i alla dess former. DS.

Fortsätt läsa – The Tripnet story!

Vill du höra fler sköna historier?

eller ... vill du också bli en del av The Tripnet Story? Hör av dig!

Våra senaste artiklar

Framtidsspaning – vilka trender ser vi?

Hur kommer framtiden att se ut inom IT-världen oc...

Skyddade god informationssäkerhet mot CrowdStrike-incidenten?

Tack vare god informationssäkerhet och en gnutta ...

NIS2-direktivet – vänta inte!

Under Tripnets kunskapsfrukost på skärtorsdagen ...