"ISO är som en liten bibel för oss"

Varje dag passerar enorma mängder data PostNord Strålfors system. Ytterst ansvarig för informationssäkerheten är Åke Andersson.
– Kunderna ställer krav och vi levererar. Det är egentligen inte svårare än så, säger han.

Åke-Andersson.jpg

ISO är en serie internationella standarder som kan ligga till grund för exempelvis ledning, miljö eller säkerhet i en organisation. En grundtanke är att det ska gå att hitta möjligheter till förbättringar.

Åke Andersson är informationssäkerhetsansvarig på PostNord Strålfors. Han är ansvarig för informationssäkerheten i IT-miljön, vilka som har tillgång till vad i systemen, vad som ska vara krypterat och hur data lagras. 

– Jag kommer in i ett senare skede, när vår säljorganisation gjort sitt och det är dags för oss att arbeta med kundens lösningar, berättar han.

PostNord Strålfors har ett antal färdiga lösningar, som Mobilfaktura, Dynamisk kommunikation och We Mail, för att nämna några.

– Här är alla processerna klara per lösning. Köper en kund detta, vet vi hur vi ska hantera säkerheten, säger Åke Andersson.

Får de in en mer komplex kundlösning, behöver PostNord Strålfors och kunden sätta sig ner och definiera uppdraget tillsammans. 

Bättre efter GDPR

– ISO är som en liten bibel för oss när vi arbetar. Det hjälper oss i allt, säger Åke Andersson.

Idag skickas all data med säker filöverföring, en så kallad SFTP.

– Det är en av många förbättringar tack vare GDPR, den nya dataskyddsförordningen, har alla processer fått en ordentlig genomlysning och alla svaga länkar har åtgärdats. 

– Ett exempel är att vi nu kräver att all data mellan oss och kunden ska skickas med säker filöverföring, så kallad SFTP. Tidigare var det inte ett krav, säger Åke Andersson.

Också kring avtal ser Åke Andersson stora förbättringar efter GDPR.

– Att alla varit tvungna att gå igenom sina NDA (Non Disclosure Agreement) och DPA (Data Protection Agreement), har gjort att mycket fallit på plats, säger han och fortsätter: 

– Givetvis styrs mycket av vårt arbete redan av våra ISO 27001 och 27002-krav som vi lever upp till fullt ut. Nytt med GDPR är att det skrivs ett DPA med varje enskild kund. Kunden har krav på sig i GDPR, att PostNord Strålfors som biträde har ett biträdesavtal, eftersom de äger informationen. 

Om något oförutsett händer

Åke Andersson beskriver sitt jobb som väldigt mycket bakom ett skrivbord och i möten. Men den ena dagen är ändå inte den andra lik.

– Jag har mycket dialog med verksamheten. Det är mycket som ska säkerställas.

– I våra avtal med kunderna har vi reglerad revision. Det betyder att vi regelbundet träffas och följer upp att allting fungerar som det ska.  

Revision kan handla om allt möjligt, den fysiska säkerheten, hur infrastruktur och informationssäkerhet är uppbyggt eller hur våra säkra nätverk är uppbyggda.

– Det beror helt enkelt på vad kunden vill veta, säger Åke Andersson.

PostNord Strålfors har också planer redo för såväl större som mindre störningar.

– Vi har byggt upp vår infrastruktur på samma sätt överallt, vilket gör att vi enkelt kan flytta produktionen från en fysisk plats till en annan, säger Åke Andersson.

– Men vår BCP (Business Continuity Plan) är så pass etablerad och färdig, att det är inte ens säkert att jag blir inblandad om det sker. 

Däremot informeras Åke Andersson vid de flesta IT-relaterade incidenter. Och skulle något större mot förmodan inträffa, aktiveras PostNord Strålfors DRP (Distaster Recovery Plan).

– Då har vi fullt fokus på att säkra och flytta data, så att vi snabbt får igång verksamheten igen.

GDPR har gjort stor skillnad

Lars Lundström på PostNord Strålfors beskriver GDPR som ett uppvaknande.

– Idag tänker alla igenom vad de behöver. Tidigare var det inte alltid så, säger han.

Som ansvarig för PostNord Strålfors digitala tjänster, hanterar Lars Lundström många frågeställningar kring hur kunderna ska arbeta med data och arkivering. Han tar som exempel kundtjänster på företag, som innan GDPR kunde ha arkiv med enorm historik, data som ingen hade behov av. 

– Ingenting rensades bort. Med GDPR finns en standardisering i botten och man diskuterar avvikelser istället. Resultatet är en sundare arkiveringsvärld och bättre datahantering, säger han och fortsätter:

– Eftersom alla måste ha full koll, finns idag processer och regelverk på plats. Utan undantag.

Alla påverkas i sitt dagliga jobb av IT och säkerhetsfrågor. 

– Grundläggande är att vi efter GDPR måste ändra våra arbetssätt, säger Lars Lundström.