Hver dag passerer det enorme mengder data gjennom PostNord Strålfors’ systemer. Det er Åke Andersson som har det overordnede ansvaret for informasjonssikkerheten.
- Det er mange som snakker om cybersikkerhet i dag, men det har lenge vært et sentralt spørsmål for PostNord Strålfors.
Åke Andersson er ansvarlig for informasjonssikkerhet i PostNord Strålfors. Han bestemmer f.eks. hvem som har tilgang til hva i systemene, hva som skal være kryptert, og hvordan data skal lagres.
– Jeg samarbeider med salgsorganisasjonen så vi oppfyller kravene fra kundene, forteller han.
– PostNord Strålfors tilbyr en rekke løsninger, og prosessene gjennomføres per løsning. Kjøper en kunde en av disse, vet vi akkurat hvordan vi skal håndtere sikkerheten, sier Åke Andersson.
Får vi inn en mer kompleks kundeløsning definerer vi oppdraget sammen med kunden.
ISO-sertifisering gjør alt mye enklere
Det snakkes mye om cybersikkerhet nå, men for oss har det vært sentralt lenge.
– Strategisk har vi bygget opp en compliance-avdeling som håndterer alle spørsmålene på et sentralt nivå i organisasjonen, sier Åke Andersson.
Alle våre IT-løsninger der kundenes data håndteres, er sertifisert innen informasjonssikkerhet (ISO 27001).
– For oss innebærer det at det er mye enklere å oppfylle kundenes krav, i og med at deres krav til oss i ni av ti tilfeller er stilt ut fra samme standard, sier Åke Andersson og fortsetter:
– ISO er som en liten bibel for oss når vi jobber. Den hjelper oss med alt, sier Åke Andersson. Men det var en stor jobb. Det tok PostNord Strålfors drøyt 20 måneder å bli sertifisert.
– Vi har omarbeidet alle prosesser i henhold til ISO 27001-regelverket – hvert eneste dokument, policy, register og håndtering er gjennomgått og dokumentert, forteller Åke Andersson.
ePrivacy-direktivet og GDPR
En av mange forbedringer etter at GDPR (EUs generelle personvernforordning) ble innført, er at alle prosesser har fått en ordentlig gjennomgang, og at svake ledd er blitt utbedret. Etter GDPR ser Åke Andersson også store forbedringer når det gjelder avtaler.
– Mye av arbeidet vårt styres av ISO 27001 og 27002. Med GDPR plikter man å ha en databehandleravtale (Data Process Agreement – DPA) med hver kunde. DPA er et sentralt dokument i alle avtaler som spesifiserer hva de krever av oss, og hva det forventes at vi leverer til dem, sier Åke Andersson og fortsetter:
– Vi har gått gjennom databehandleravtalene og kontrollert at alle ansatte har en taushetspliktavtale (Non Disclosure Agreement – NDA).
Et nytt regelverk vil erstatte det gamle ePrivacy-direktivet fra 2002. Det nye regelverket vil komplettere GDPR og gjelde for fysiske og juridiske personer.
– Den nye ePrivacy-forordningen vil påvirke alle som har en eller annen form for elektronisk kommunikasjon, sier Åke Andersson og nevner kravene som gjelder varsling om og samtykke til f.eks. informasjonskapsler.
Det er mange forskjellige regelverk som oppdateres regelmessig, noe som betyr at PostNord Strålfors hele tiden må oppdatere sine rutiner. Åke Andersson kommer med nok et eksempel:
– Vi har NIS-direktivet som stiller krav til sikkerheten i nettverk og informasjonssystemer. Det vil bli erstattet av NIS2 som omfatter mange flere aktører som må gjennomføre direktivet, og der kravene til kryptering er strengere.
Alle våre IT-løsninger der kundenes data håndteres, er i dag sertifisert i henhold til ISO 27001. For oss innebærer det at det er mye enklere å oppfylle kundenes krav.
Åke Andersson Information Security Officer i PostNord Strålfors
Hvis det skjer noe uforutsett
Åke Andersson beskriver jobben som en jobb som tilbringes mye bak et skrivebord og i møter. Men ingen dager er like.
– Jeg har mye dialog med virksomheten. Det er mye som skal sikres.
– I avtalene med kundene har vi innført revisjon. Det betyr at vi regelmessig treffes og følger opp at alt fungerer som det skal.
Revisjon kan handle om alt mulig – den fysiske sikkerheten eller hvordan infrastruktur, informasjonssikkerhet eller våre sikre nettverk er bygd opp.
– Det avhenger rett og slett av hva kunden ønsker å vite, sier Åke Andersson. PostNord Strålfors har også planene klare for både store og mindre forstyrrelser.
– Vi har bygd opp infrastrukturen på samme måte overalt, noe som gjør at vi enkelt kan flytte produksjonen fra ett fysisk sted til et annet, sier Åke Andersson.
– Men vår BCP (Business Continuity Plan) er såpass etablert og komplett at det ikke en gang er sikkert at jeg blir involvert hvis det skjer noe.
Åke Andersson informeres imidlertid ved de fleste IT-relaterte hendelser. Og skulle noe større mot formodning inntreffe, aktiveres PostNord Strålfors DRP (Disaster Recovery Plan).
– Da har vi fullt fokus på å sikre og flytte data, slik at vi raskt får i gang virksomheten igjen.
GDPR har endret mye
Lars Lundström i PostNord Strålfors beskriver innføringen av GDPR-regelverket i 2018 som en vekker.
– I dag tenker alle gjennom hvilke data de faktisk har behov for. Slik var det ikke før, sier han.
Som ansvarlig for PostNord Strålfors Nordic Customer Implementation håndterer Lars Lundström en rekke spørsmål om hvordan kundene skal arbeide med data og arkivering. Han nevner som eksempel kundetjenester i bedrifter som før GDPR kunne ha arkiver med enorme mengder historikk, data som ingen hadde behov for.
– Ingenting ble slettet. Med GDPR er det en standardisering i bunn, og man diskuterer avvik i stedet. Resultatet er en sunnere arkiveringsverden og bedre håndtering av data, sier han og fortsetter:
– Det grunnleggende er at vi etter GDPR har måttet endre måten vi jobber på. Mange av kravene i GDPR er stilt ut fra et IT- og informasjonsperspektiv, sier Lars Lundström.
)
)