"Det er mye som skal sikres"

Hver dag passerer enorme mengder data gjennom PostNord Strålfors’ system. Den som har det overordnede ansvaret for informasjonssikkerheten, er Åke Andersson.
– Kundene stiller krav, og vi leverer. Det er egentlig ikke vanskeligere enn det, sier han.

Åke-Andersson.jpg

ISO er en serie internasjonale standarder som omfatter f.eks. ledelse, miljø eller sikkerhet i en organisasjon. En grunntanke er at det skal gå an å finne muligheter for forbedring, f.eks. ved å spore årsakene til feil som oppstår.

Åke Andersson er informasjonssikkerhets-ansvarlig i PostNord Strålfors. Han har ansvaret for informasjonssikkerheten i IT-miljøet, for hvem som har tilgang til hva i systemet, hva som skal være kryptert, og hvordan data lagres. 

– Jeg kommer inn på et senere stadium etter at salgsorganisasjonen har gjort sitt, da er det vår tur til å arbeide med kundens løsninger, forteller han.

PostNord Strålfors har en rekke ferdige løsninger, f.eks. Mobilfaktura, Dynamisk kommunikasjon og We Mail, bare for å nevne noen.

– Her er alle prosessene klare per løsning. Kjøper en kunde dette, vet vi hvordan vi skal håndtere sikkerheten, sier Åke Andersson.

Får de inn en mer kompleks kundeløsning, må PostNord Strålfors og kunden sette seg ned og definere oppdraget sammen. 

Bedre etter GDPR

– ISO er som en liten bibel for oss når vi arbeider. Det hjelper oss med alt, sier Åke Andersson.

I dag sendes alle data med sikker filoverføring, såkalt SFTP.

– Det er en av mange forbedringer, og takket være GDPR, den nye personvernforordningen, har alle prosesser fått en ordentlig gjennomgang, og alle svake ledd er blitt utbedret. 

– Et eksempel er at vi nå krever at alle data mellom oss og kunden skal sendes med sikker filoverføring, såkalt SFTP. Før var ikke dette et absolutt krav, sier Åke Andersson.

Også når det gjelder avtaler, ser Åke Andersson store forbedringer etter GDPR.

– Det at alle har måttet gå gjennom sine NDA (Non Disclosure Agreement) og DPA (Data Protection Agreement), har gjort at mye har falt på plass, sier han og fortsetter: 

– Selvfølgelig styres mye av arbeidet vårt allerede av våre ISO 27001- og 27002-krav som vi følger fullt ut. En ny ting med GDPR er at det inngås en DPA med hver enkelt kunde. Kunden har krav mot seg i GDPR om at PostNord Strålfors som databehandler har en databehandler-avtale, ettersom de eier informasjonen. 

Hvis noe uforutsett hender

Åke Andersson beskriver jobben som svært mye bak et skrivebord og i møter. Men ingen dager er like.

– Jeg har mye dialog med virksomheten. Det er mye som skal sikres.

– I våre avtaler med kundene har vi regulert revisjon. Det betyr at vi regelmessig treffes og følger opp at alt fungerer som det skal.  

Revisjon kan handle om alt mulig – den fysiske sikkerheten, hvordan infrastruktur og informasjonssikkerhet er bygd opp, eller hvordan våre sikre nettverk er bygd opp.

– Det avhenger rett og slett av hva kunden ønsker å vite, sier Åke Andersson.

PostNord Strålfors har også planene klare for både store og mindre forstyrrelser.

– Vi har bygd opp infrastrukturen vår på samme måte overalt, noe som gjør at vi enkelt kan flytte produksjonen fra ett fysisk sted til et annet, sier Åke Andersson.

– Vår BCP (Business Continuity Plan) er imidlertid såpass etablert og ferdig at det ikke en gang er sikkert at jeg blir involvert hvis det skjer. 

Åke Andersson informeres imidlertid ved de fleste IT-relaterte hendelser. Og skulle noe større mot formodning inntreffe, aktiveres PostNord Strålfors DRP (Disaster Recovery Plan).

– Da har vi fullt fokus på å sikre og flytte data, slik at vi raskt får i gang virksomheten igjen.

GDPR har endret mye

Lars Lundström i PostNord Strålfors beskriver GDPR som en vekker.

– I dag tenker alle gjennom hvilke data de faktisk har behov for. Slik var det ikke før, sier han.

Som ansvarlig for PostNord Strålfors’ digitale tjenester håndterer Lars Lundström en rekke spørsmål om hvordan kundene skal arbeide med data og arkivering. Han nevner som eksempel kundetjenester i bedrifter som før GDPR kunne ha arkiver med enorme mengder historikk, data som ingen hadde behov for. 

– Ingenting ble slettet. Med GDPR er det en standardisering i bunn, i stedet diskuterer man avvik. Resultatet er en sunnere arkiveringsverden og bedre håndtering av data, sier han og fortsetter:

– Siden det kreves at alle har full kontroll, er det nå prosesser og regelverk på plass. Uten unntak.

Alle påvirkes i sitt daglige arbeid av IT og sikkerhetsspørsmål. 

– Det grunnleggende er at vi etter GDPR må endre måten vi arbeider på, sier Lars Lundström.