”ISO är som en liten bibel för oss”

Varje dag passerar enorma mängder data PostNord Strålfors system. Ytterst ansvarig för informationssäkerheten är Åke Andersson.
- Det är många som pratar om cybersäkerhet idag, men det har varit en central fråga för PostNord Strålfors länge.

Marknadstrender IT-säkerhet

Åke Andersson är informationssäkerhetsansvarig på PostNord Strålfors. Han bestämmer till exempel vilka som har tillgång till vad i systemen, vad som ska vara krypterat och hur data lagras. 

– Jag arbetar tillsammans med säljorganisationen för att vi ska kunna säkerställa kundernas alla krav, berättar han.

PostNord Strålfors har ett antal färdiga lösningar, som Mobilfaktura, Dynamisk kommunikation och We Mail, för att nämna några.

– Här är alla processerna klara per lösning. Köper en kund detta, vet vi hur vi ska hantera säkerheten, säger Åke Andersson.

Får de in en mer komplex kundlösning, behöver PostNord Strålfors och kunden sätta sig ner och definiera uppdraget tillsammans.

– Vi har arbetat om alla våra processer enligt ISO 27001-regelverket, vartenda dokument, policy, register och hantering är genomlyst och dokumenterad, berättar Åke Andersson.

ISO-certifieringen har gjort allt lättare

Det är många som pratar om cybersäkerhet idag, men det har varit en central fråga för PostNord Strålfors länge.

– Sedan årsskiftet har vi arbetat strategiskt med att bygga upp en compliance-avdelning som kan hantera dessa frågor på central nivå i organisationen, säger Åke Andersson.

Se alla PostNord Strålfors certifikat

Åke Andersson Åke Andersson, Information Security Officer på PostNord Strålfors

Alla PostNord Strålfors olika IT-lösningar, som hanterar kundernas data, är idag certifierade enligt informationssäkerhetsstandarden ISO 27001.

– För oss innebär det att vi har mycket lättare att möta våra kunders krav, eftersom deras krav på oss i 9 fall av tio är ställda utifrån samma standard, säger Åke Andersson och fortsätter:

– ISO är som en liten bibel för oss när vi arbetar. Det hjälper oss i allt, säger Åke Andersson. Men det var ett stort jobb. Det tog PostNord Strålfors dryga 20 månader att bli certifierade.

– Vi har arbetat om alla våra processer enligt ISO 27001-regelverket, vartenda dokument, policy, register och hantering är genomlyst och dokumenterad, berättar Åke Andersson.

ePrivacy-direktivet och GDPR

En av många förbättringar efter dataskyddsförordningen GDPR är att alla processer fått en ordentlig genomlysning och att alla svaga länkar har åtgärdats. Åke Andersson ser också stora förbättringar efter GDPR kring avtal.

– Mycket av vårt arbete styrs av ISO 27001 och 27002, men nytt med GDPR var att skriva ett DPA (Data Process Agreements) med varje enskild kund. DPA är ett centralt dokument i alla avtal som specificerar vad de kräver av oss och vad vi förväntas leverera till dem, säger Åke Andersson och fortsätter:

– Nu har vi gått igenom DPA-erna och vi har verifierat att alla anställda har ett NDA (Non Disclosure Agreement). 

Inom kort kommer också ett nytt regelverk att ersätta det gamla ePrivacy-direktivet från 2002. Det nya regelverket kommer att komplettera GDPR och gäller för både fysiska och juridiska personer.

– Den nya ePrivacy-förordningen kommer att påverka alla som har någon form av elektrisk kommunikation, säger Åke Andersson och pekar på kravställningen kring delgivande och medgivande för till exempel cookies.

Det är många olika regelverk som uppdateras regelbundet, vilket betyder att PostNord Strålfors måste uppdatera sina rutiner hela tiden. Åke Andersson ger ytterligare ett exempel:

– Vi har NIS-direktivet, som ställer krav på säkerhet i nätverk och informationssystem. Det kommer att ersattas av NIS2, där många fler aktörer omfattas och som därför måste anamma direktivet och har fått hårdare krav på kryptering.

– Vi har byggt upp vår infrastruktur på samma sätt överallt, vilket gör att vi enkelt kan flytta produktionen från en fysisk plats till en annan, säger Åke Andersson.

Om något oförutsett händer

Åke Andersson beskriver sitt jobb som väldigt mycket bakom ett skrivbord och i möten. Men den ena dagen är ändå inte den andra lik.

– Jag har mycket dialog med verksamheten. Det är mycket som ska säkerställas.

– I våra avtal med kunderna har vi reglerad revision. Det betyder att vi regelbundet träffas och följer upp att allting fungerar som det ska.

Revision kan handla om allt möjligt, den fysiska säkerheten, hur infrastruktur och informationssäkerhet är uppbyggt eller hur våra säkra nätverk är uppbyggda.

– Det beror helt enkelt på vad kunden vill veta, säger Åke Andersson.

PostNord Strålfors har också planer redo för såväl större som mindre störningar.

– Vi har byggt upp vår infrastruktur på samma sätt överallt, vilket gör att vi enkelt kan flytta produktionen från en fysisk plats till en annan, säger Åke Andersson.

– Men vår BCP (Business Continuity Plan) är så pass etablerad och färdig, att det är inte ens säkert att jag blir inblandad om det sker. 

Däremot informeras Åke Andersson vid de flesta IT-relaterade incidenter. Och skulle något större mot förmodan inträffa, aktiveras PostNord Strålfors DRP (Distaster Recovery Plan).

– Då har vi fullt fokus på att säkra och flytta data, så att vi snabbt får igång verksamheten igen.

GDPR har gjort stor skillnad

Lars Lundström Lars Lundström, Head of Nordic Customer Implementation på PostNord Strålfors

Lars Lundström på PostNord Strålfors beskriver införandet av GDPR-regelverket 2018 som ett uppvaknande.

– Idag tänker alla igenom vad de behöver. Tidigare var det inte alltid så, säger han.

Som ansvarig för PostNord Strålfors Nordic Customer Implementation, hanterar Lars Lundström många frågeställningar kring hur kunderna ska arbeta med data och arkivering. Han tar som exempel kundtjänster på företag, som innan GDPR kunde ha arkiv med enorm historik, data som ingen hade behov av. 

– Ingenting rensades bort. Med GDPR finns en standardisering i botten och man diskuterar avvikelser istället. Resultatet är en sundare arkiveringsvärld och bättre datahantering, säger han och fortsätter:

– Grundläggande är att vi efter GDPR har fått ändra våra arbetssätt. GDPR kravställer väldigt mycket ur ett IT- och informationsperspektiv, säger Lars Lundström.

Inspiration och fördjupning