När Robur Safe där Peter Blomdahl är CTO skulle ta ett kliv in i en ny, mer mjukvarubaserad modell, följde också nya krav – en kund efterfrågade tydliga rutiner kring informationssäkerhet. Organisationen hade tidigare mött liknande krav i mindre skala, men nu var det tydligt att ett mer omfattande och systematiskt arbete krävdes. Beslutet blev att ta hjälp av Secify för att implementera ISO27001, hela vägen mot certifiering.
Projektet – från analys till certifiering
Som för många andra organisationer fattades beslutet med utgångspunkt från ökande kundkrav, men man ville samtidigt rent generellt förbättra och förenkla interna processer och rutiner. Sen tidigare hade man ISO14001 och ISO 9001 implementerat, och nu ville man komplettera med informationssäkerhet.
– Det var första gången vi ställdes inför så här breda krav kopplade till både leverans, infrastruktur och säkerhet, berättar Peter. Vi såg snabbt att ISO 27001 kunde ge oss svar på mycket – inte allt, men det mesta.
Man bedömde även att man förmodligen omfattas av NIS2, i och med kopplingar till kunder med höga regulatoriska krav. För att få ett bra avstamp inleddes arbetet med en gapanalys tillsammans med Secify, som Peter menar blev starten.
– Gapanalysen blev ett tydligt beslutsunderlag – den visade att en ISO 27001-certifiering inte bara var rimlig, utan också lämplig för vår verksamhet. Den blev helt enkelt startskottet.
Projektet drevs brett förankrat i ledningen, där både vd, säljchef och marknadschef var aktiva. Samtidigt upplevde Peter att medarbetare utanför kärnprojektet hade många frågor och ibland viss oro – något han tog på allvar.
– Jag tror inte att det handlade om att kollegorna upplevde det som svårt, utan snarare att det innebar förändring. Människor vill ju gärna jobba på som man är van, det är förståeligt. Vi la därför mycket kraft på intern utbildning och kommunikation för att öka förståelsen. Men erfarenheten är att vi kunde varit ännu bättre med detta.
Julia Karlsson, Chief Operating Officer, beskriver processen som något många företag går igenom.
– I många av våra implementeringsprojekt är det svårnavigerat för anställda i början av processen – det är något som hör till. Det här behöver alltid tas på allvar, och med utbildning och kommunikation säkerställa att förankring sker hos alla som på något sätt påverkas av förändringen.
Det interna arbetet utvecklades gradvis, och säkerhetsfrågorna blev allt mer en integrerad del av vardagen. Medarbetarna fick en tydligare förståelse för att informationssäkerhet inte är något som “IT löser”, utan ett gemensamt ansvar.
– Sedan tidigare har vi en bra teknisk lösning med vår IT-partner, men vi brast när det kom till dokumentation såväl som generell medvetenhet. Nu har vi en tydlig struktur, separata nät för olika delar av verksamheten, bättre dokumenthantering, och en mer medveten syn på konfidentialitet och tillgång till information.
Framtiden möts med ett mer ordnat nuläge
Med ISO27001 implementerat har man nu en gedigen grund att stå på, och med implementationen kommer också flera affärsmässiga fördelar såväl som rena effektiviseringar. Peter märker förändringarna både i sitt eget arbete såväl som ute hos kollegorna.
– Vi märker nu att vi har ”skärpt till oss” på flera områden. Vi har en tämligen bra lösning med vår IT-partner som gör ett bra jobb, men med tydligare dokumentation och en högre medvetenhet står vi betydligt bättre rustade. Medarbetarna har börjat komma in i nya arbetssätt, och vi märker att det börjar flyta på smidigt.
Även när det kommer till hantering av personuppgifter, och därmed efterlevnad av GDPR, har man gjort vissa förändringar. Här hade man från början inte så tungt fokus efter personuppgiftshanteringen är begränsad på företaget, men man ville ändå tillse att bolaget har koll på läget.
Säkerhetsarbetet är dock långt ifrån avslutat. Nu handlar det om att fullfölja implementeringen fullt ut och arbeta enligt sina nya rutiner – genomföra interna revisioner, fortsätta riskanalyser och säkra processer över tid. I dialogen med både IT-partnern och kunder finns en ökad medvetenhet kring regulatoriska krav, där ISO 27001 nu är en viktig del av arbetet.
– Vi bygger bland annat ett nytt testnät, och både vår tekniker och revisorn var tydliga med att det höjer vår säkerhetsnivå. Vi är på rätt väg, avslutar Peter stolt.
På frågan om vad han vill skicka med till andra som står inför en liknande resa, lyfter Peter två viktiga insikter:
– En sak vi hade önskat att vi gjort annorlunda tillsammans med Secify är att lägga större fokus på praktik från början, snarare än de teoretiska bitarna. Jag är övertygad om att det hade gett ett ännu bättre resultat om vi haft en mer praktiskt orienterad start.
– Få med er kollegorna ordentligt från början, det gör skillnad för er som sitter som ansvariga i projektet. Att inte ha med sig dem innebär inte direkt något extra arbetsbörda tidsmässigt, men mentalt drar det energi. Sitter ni i startgroparna till ett sånt här projekt, ha med er att förändring kan väcka oro och stress – särskilt om man inte riktigt förstår varför eller hur omfattande arbetet är. Det handlar om att skapa trygghet och insyn – och samtidigt som det inte kostar så mycket tid, så gör det stor skillnad.
