Åke Andersson er informasjonssikkerhetsansvarlig i PostNord Strålfors. Han bestemmer f.eks. hvem som har tilgang til hva i systemene, hva som skal være kryptert, og hvordan data skal lagres.
– Jeg samarbeider med salgsorganisasjonen for at vi skal kunne oppfylle kravene fra kundene, forteller han.
PostNord Strålfors har en rekke ferdige løsninger, f.eks. Mobilfaktura, Dynamisk kommunikasjon og WeMail, bare for å nevne noen.
– Her gjennomføres alle prosessene per løsning. Kjøper en kunde dette, vet vi hvordan vi skal håndtere sikkerheten, sier Åke Andersson.
Får de inn en mer kompleks kundeløsning, må PostNord Strålfors og kunden sette seg ned og definere oppdraget sammen.
– Vi har omarbeidet alle prosesser i henhold til ISO 27001-regelverket – hvert eneste dokument, policy, register og håndtering er gjennomgått og dokumentert, forteller Åke Andersson.
ISO-sertifiseringen har gjort alt lettere
Det er mange som snakker om cybersikkerhet i dag, men det har lenge vært et sentralt spørsmål for PostNord Strålfors.
– Siden årsskiftet har vi arbeidet strategisk med å bygge opp en compliance-avdeling som kan håndtere disse spørsmålene på et sentralt nivå i organisasjonen, sier Åke Andersson.
Se alle PostNord Strålfors' sertifiseringer
Alle PostNord Strålfors’ IT-løsninger der kundenes data håndteres, er i dag sertifisert i henhold til informasjonssikkerhetsstandarden ISO 27001.
– For oss innebærer det at det er mye enklere å oppfylle kundenes krav, i og med at deres krav til oss i ni av ti tilfeller er stilt ut fra samme standard, sier Åke Andersson og fortsetter:
– ISO er som en liten bibel for oss når vi jobber. Den hjelper oss med alt, sier Åke Andersson. Men det var en stor jobb. Det tok PostNord Strålfors drøyt 20 måneder å bli sertifisert.
– Vi har omarbeidet alle prosesser i henhold til ISO 27001-regelverket – hvert eneste dokument, policy, register og håndtering er gjennomgått og dokumentert, forteller Åke Andersson.
ePrivacy-direktivet og GDPR
En av mange forbedringer etter at GDPR (EUs generelle personvernforordning) ble innført, er at alle prosesser har fått en ordentlig gjennomgang, og at alle svake ledd er blitt utbedret. Etter GDPR ser Åke Andersson også store forbedringer når det gjelder avtaler.
– Mye av arbeidet vårt styres av ISO 27001 og 27002, men noe som ble innført med GDPR, er at man nå plikter å ha en databehandleravtale (Data Process Agreement – DPA) med hver kunde. DPA er et sentralt dokument i alle avtaler som spesifiserer hva de krever av oss, og hva det forventes at vi leverer til dem, sier Åke Andersson og fortsetter:
– Nå har vi gått gjennom databehandleravtalene, og vi har kontrollert at alle ansatte har en taushetspliktavtale (Non Disclosure Agreement – NDA).
Om kort tid vil et nytt regelverk også erstatte det gamle ePrivacy-direktivet fra 2002. Det nye regelverket vil komplettere GDPR og vil gjelde for både fysiske og juridiske personer.
– Den nye ePrivacy-forordningen vil påvirke alle som har en eller annen form for elektronisk kommunikasjon, sier Åke Andersson og nevner kravene som gjelder varsling om og samtykke til f.eks. informasjonskapsler.
Det er mange forskjellige regelverk som oppdateres regelmessig, noe som betyr at PostNord Strålfors hele tiden må oppdatere sine rutiner. Åke Andersson kommer med nok et eksempel:
– Vi har NIS-direktivet som stiller krav til sikkerheten i nettverk og informasjonssystemer. Det vil bli erstattet av NIS2 som omfatter mange flere aktører som må gjennomføre direktivet, og der kravene til kryptering er strengere.
– Vi har bygd opp infrastrukturen på samme måte overalt, noe som gjør at vi enkelt kan flytte produksjonen fra ett fysisk sted til et annet, sier Åke Andersson.
Hvis det skjer noe uforutsett
Åke Andersson beskriver jobben som en jobb som tilbringes mye bak et skrivebord og i møter. Men ingen dager er like.
– Jeg har mye dialog med virksomheten. Det er mye som skal sikres.
– I avtalene med kundene har vi innført revisjon. Det betyr at vi regelmessig treffes og følger opp at alt fungerer som det skal.
Revisjon kan handle om alt mulig – den fysiske sikkerheten eller hvordan infrastruktur, informasjonssikkerhet eller våre sikre nettverk er bygd opp.
– Det avhenger rett og slett av hva kunden ønsker å vite, sier Åke Andersson. PostNord Strålfors har også planene klare for både store og mindre forstyrrelser.
– Vi har bygd opp infrastrukturen på samme måte overalt, noe som gjør at vi enkelt kan flytte produksjonen fra ett fysisk sted til et annet, sier Åke Andersson.
– Men vår BCP (Business Continuity Plan) er såpass etablert og komplett at det ikke en gang er sikkert at jeg blir involvert hvis det skjer noe.
Åke Andersson informeres imidlertid ved de fleste IT-relaterte hendelser. Og skulle noe større mot formodning inntreffe, aktiveres PostNord Strålfors DRP (Disaster Recovery Plan).
– Da har vi fullt fokus på å sikre og flytte data, slik at vi raskt får i gang virksomheten igjen.
GDPR har endret mye
Lars Lundström i PostNord Strålfors beskriver innføringen av GDPR-regelverket i 2018 som en vekker.
– I dag tenker alle gjennom hvilke data de faktisk har behov for. Slik var det ikke før, sier han.
Som ansvarlig for PostNord Strålfors Nordic Customer Implementation håndterer Lars Lundström en rekke spørsmål om hvordan kundene skal arbeide med data og arkivering. Han nevner som eksempel kundetjenester i bedrifter som før GDPR kunne ha arkiver med enorme mengder historikk, data som ingen hadde behov for.
– Ingenting ble slettet. Med GDPR er det en standardisering i bunn, og man diskuterer avvik i stedet. Resultatet er en sunnere arkiveringsverden og bedre håndtering av data, sier han og fortsetter:
– Det grunnleggende er at vi etter GDPR har måttet endre måten vi arbeider på. Mange av kravene i GDPR er stilt ut fra et IT- og informasjonsperspektiv, sier Lars Lundström.