Bara några veckor innan julafton 2021 hände det. WinLas fick en tidig julklapp i form av en ISO27001 certifiering. Men vägen dit var varken enkel eller helt glasklar.

Vad är ISO27001?

ISO/IEC 27001 är en ”best practice”-standard som öppnar upp möjligheten för organisationer att arbeta på ett mer informationssäkert sätt.  Standarden publicerades 2005 och är Europas motsvarighet till det amerikanska ramverket NIST CSF.

– Det hela började egentligen med att GDPR trädde i kraft 2018 och att vi behövde se över vår hantering av personuppgifter. I och med det halkade vi in på informationssäkerhet och processarbete. Vi har också sett ett stort värde i att ha certifieringen att presentera gentemot våra kunder i samband med försäljning mot offentlig sektor, säger Victoria Ronge, VD på WinLas.

– Det gick först lite halvdant, så 2019 kontaktade vi Secify i Jönköping och bad om hjälp. Till vår undsättning kom Jon Solheim som uttryckte sig i stil med att vi hade försökt ”backa in i standarden”. Jon kom in och började prata process med oss, vilket vi spann vidare på. För oss handlade det inte bara då om att kartlägga processerna, utan att också förbättra dem redan från start och sätta rutiner.

– Genom hela resan har vi haft väldigt roligt med Jon. Det första året sågs vi säkert med Jon varannan vecka. Han har satt strukturer och visat vägen, men också inspirerat oss till att hitta nya arbetsmetoder och lösningar inom olika delar av verksamheten. Han har lärt oss väldigt mycket om processarbete, verksamhets- och målstyrning, samt hur vi kunde få till ett aktivt riskarbete. Pådrivande och agil på samma gång. Jon höll också i utbildningstillfällen och riskworkshops för samtlig personal. Vi har haft och har fortfarande, en gemensam samarbetsyta med Jon i Teams.

Stora förändringar från start till certifiering

Vill du läsa mer om ISO27001?

– Vi började alltså 2018 och certifierades 2021. Det kan säkert gå snabbare än så, men vi hade föräldraledigheter som kom i vägen och behövde tiden för att etablera ett mer strukturerat arbetssätt inom organisationen. Vi hade trots allt vuxit från 14 till dryga 20 medarbetare under samma år. I dagsläget är vi 26 plus 5 resurskonsulter.

– Det har verkligen skett en stor förändring i hela företaget, speciellt inom säkerhetsmedvetenheten. Idag har vi bland annat en ”hoffnings-kultur”, vilken innebär att de medarbetare som någon gång glömmer att låsa sin dator riskerar att få en överraskning från kollegorna: David Hasselhoff som skärmsläckare eller skrivbordsbakgrund (har också hänt att det skickas mejl om att vederbörande ska bjuda på tårta). Att informationssäkerheten sätter sig i kulturen tror jag är en viktig grundsten i ett lyckat informationssäkerhetsarbete.

Henrik Petterson