Case: Prenax

När kundkraven ökar behövs en struktur för att effektivisera & förenkla

Prenax jobbar med prenumerationsförmedling, vilket innebär att man hanterar prenumerationer för större bolag, offentliga verksamheter, universitet, etc, för att underlätta administrationsbördan. Prenax har funnits i 30 år, och har genom åren utökat sin verksamhet till runt 300 anställda, spridda över elva länder. Magnus Åkerlind, CIO, valde att ta in Secifys tjänst CISO as a service för att få bättre struktur och öka effektiviteten.

En föränderlig omvärld ger tre stora utmaningar

– På Prenax tror vi att ett aktivt säkerhetsarbete är en nyckel för att driva en framgångsrik verksamhet, säger Magnus. De förändringar jag märker ser jag ur tre perspektiv:

1. För det första blir de cyberkriminella allt smartare i sina tillvägagångssätt. Borta sedan länge är de s.k. ”Nigeria-breven” och här för att stanna är mer välarbetade försök som är otroligt svåra att komma åt. De gör kort sagt hemarbetet riktigt bra.
2. För det andra har bolag blivit nästan överdrivet rädda för att göra fel. Riskavdelningarna som för 10-15 år sen nästan inte hade något att säga till om har nu nästan fått för mycket utrymme. Konsekvensen blir att riskaspekten ibland trumfar affärsvärdet.
3. Det tredje och sista Magnus ser kommer från leverantörsaspekten. Som en konsekvens av ovan två perspektiv har det blivit svårare för leverantörer att leverera rätt nivå av säkerhet. När hoten ökar, och kunderna är rädda för att göra fel, är risken hög att leverantören är rädd för att själva göra fel, och överlevererar.

Ett behov sprunget ur tre områden

Vid Magnus tillträde för två år sedan hade bolaget precis upplevt ett dataintrång som belyste behov på tre områden; teknik, dokumentation och kundkrav.

För att komma åt de två sistnämnda problemen valde vi att samarbeta med Secify.

Vi behövde få bättre kontroll över tekniken i allmänhet, innebärandes allt från brandväggar och antivirus till nätverkssäkerhet.
Vad gäller dokumentation, policies, rutiner och liknande fanns vissa delar i systemen, men här behövdes en genomgående struktur. Samtidigt ökade kundkraven lavinartat. Säljarna behövde omfattande stöd från IT-avdelningen för att svara på risk assessments och andra underlag, från befintliga, såväl som blivande, kunder. Effekten blev en orimlig, och högst återkommande, arbetsbörda. För att komma åt de två sistnämnda problemen valde vi att samarbeta med Secify. Vi ville bygga upp en underliggande och genomgående struktur i informationssäkerhetsarbetet, avslutar Magnus.

Säkerhet går att förenkla

Många tycker att säkerhet känns komplicerat och svårt att greppa. Magnus ser dålig struktur som den stora boven i dramat här.

– Allt blir komplext utan en plan, en roadmap; förstår man inte vad man har framför sig så gör man det onödigt svårt. Prenax lägger stor vikt vid att justera sin plan löpande, med en tydlig data impact analysis som grund. Jag tror också att det blir enklare om man håller isär infrastruktur och information, dvs sekundära och primära tillgångar. Många fastnar i att prata om bäraren av information (ex. en dator) snarare än informationen i sig (ex. ett kundregister), säger Magnus.

Flexibilitet och möjligheten till stöd inom flera områden fällde avgörandet

– När vi hade beslutat oss för att söka en leverantör inom området visste vi att vi behövde någon som var flexibel – vi villa kunna diskutera både upplägg och omfattning, och inte bara få en färdig ”inboxad” tjänst förklarar Magnus.

det var av stor betydelse att balansen mellan scope och pris kändes rimligt.

Han fortsätter; vi tittade på 8-10 leverantörer och kände hos Secify att både första intryck och tjänsteupplägg passade oss. I mötena låg inte fokus på Secify med långa företagspresentationer och onödig information, utan diskussionen kretsade kring oss, våra utmaningar, och vår vision framåt.
Kompetensen var god, och framför allt uppskattade vi möjligheten att kunna kombinera frågor om såväl GDPR som informationssäkerhet i stort, inom ramen för samma tjänst. Därtill kändes prisfrågan viktig, så det var av stor betydelse att balansen mellan scope och pris kändes rimligt.

Resultatet är en effektiv struktur

Med det arbete som är gjort har Prenax lyckats skapa en baseline och genomgående struktur. Denna struktur medför en trygghet för både organisationen och externa intressenter, ökar säkerheten markant, samt kapar tid för många resurser (ex. IT när det kommer till stödet mot säljarna och kundernas frågeunderlag).

På Secify tror vi stenhårt på att inte krångla till saker i onödan. Vilka tips kan du dela för att förenkla och effektivisera arbetet med säkerhet?

– Ta de viktigaste, lågt hängande frukterna som får en tydlig och hög effekt. Fundera på vad som egentligen skapar de största hoten för den data man behöver skydda (inte bäraren) och fokusera på det.
– Jag vill också skicka med att fokusera på processen snarare än att snurra in sig i de tekniska aspekterna. I många fall är det lätt att tycka att teknik ska stå för den totala säkerhetsbilden. Sanningen är dock att man ofta kommer så mycket längre, med högre effekt, om man tittar på vilka som gör vad, vilka som har åtkomst till vad, etc. Som exempel kan man kryptera en databas för att det känns säkert – men om 300 personer ändå har åtkomst så kanske slutresultatet inte blir särskilt säkert ändå, avslutar Magnus.