Få företag certifieriade
I Sverige har standarden SS 62 77 99 funnits sedan mitten av 2000, och mycket få företag har hitills låtit certifiera sig. När det började pratas om den nya standarden för cirka två år sedan trodde många att den vid det här laget skulle vara betydligt mera etablerad än den faktiskt hunnit bli. Men det tror Erik Fogelberg kommer att förändras inom en snar framtid.
– Inom en femårsperiod tror jag att den här standarden har slagit igenom på allvar, och många kommer då att kräva certifiering vid samarbete. I många branscher lär det då innebära en klar konkurrensfördel att inneha ett certifikat, säger han övertygat.
Det första som gjordes på Gesab, själva början av certifieringsprocessen för cirka två år sedan, var att allt som bar på information inom företaget identifierades. Det handlade om ritningar, offerter, fakturor och så vidare, och ambitionen var att alla informationbärare i verksamheten skulle dokumenteras.
– Naturligtvis hittade vi ett antal informationsbärande medier som vi inte tänkt på innan. Men den största lärdomen av den här genomgången var hur viktiga de anställda är som informationsbärare, säger Erik Fogelberg.
Hotet inifrån
Det för oss osökt in på området insiderbrott, eller ”hotet inifrån”. Gesab har som alla andra verifiering av användarens identitet via lösenord.
– Det bästa sättet att komma till rätta med denna risk är ju att se till att ha lojala medarbetare som trivs på sitt arbete, och att man bedriver upplysning och utbildning på ett riktigt sätt. Men om någon ändå skulle säga upp sig i vredesmod stänger vi naturligtvis av dennes åtkomst till datorsystemen helt – men detta är inte något som vi tvingats göra hittills, säger Erik Fogelberg.
Gesab tittar nu även på en programvara som övervakar datorsystemen och larmar ledningen om någon användare uppvisar ett ”misstänkt beteende”. Med det menas att någon till exempel loggar in på kvällar eller helger och skriver ut eller kopierar känslig information. Men man har inte infört det. Erik Fogelberg understryker att detta inte är någon lösning på informationssäkerhetsproblemen.
– Man köper sig inte fri från problematiken genom att installera övervakningssystem. Det absolut effektivaste sättet att trygga informationen inom företaget är att satsa på trivsel, information och upplysning, säger han.
Ägare till informationen
Nästa steg i processen var att hitta en ”ägare” – en person eller en befattning – till varje informationsresurs, exempelvis databaser, som dokumenterats. Ägaren ansvarar för att informationen inte ändras, att ingen obehörig får tillgång till den samt att den finns tillgänglig för de som har rätt till den. Detta gör ägaren genom att upprätta driftsavtal med den som sköter informationen, exempelvis en dataavdelning. I avtalet anges vem som ska ha läs- och skrivrättigheter i databasen, hur lång tid som får förflyta från ett haveri till att databasen fungerar igen, kontinuitetskrav och så vidare.
– Driftsavtal är ett stort steg framåt, inte minst för att IT-supporten ska fungera bättre.
Driftsavtal upprättats inte bara för olika databaser, men även för varje medarbetarnas datorer.
– Utan dessa driftsavtal är det den som skriker högst och är mest påstridig som snabbast får en krånglande dator åtgärdad av supporten. I och med att vi i avtalet reglerar hur länge en anställds dator får vara ”nere” blir supporten mera jämlik mellan olika anställda, säger Erik Fogelberg.
Vad är ”tillräcklig säkerhetsnivå”?
När informationsägarna var utsedda satte sig Gesabs högsta ledning ned och diskuterade vilken ambition som är rätt för företaget – vad som är tillräcklig säkerhetsnivå för just deras verksamhet.
– Diskussionerna fördes kring frågor av typen ”hur långa leveransförseningar kan vi acceptera” och ”hur viktigt är det att hålla våra offerter inom företaget”, säger Erik Fogelberg.
Standarden för informationssäkerhet är omfattande, eftersom den ska kunna tillämpas på alla typer av verksamheter. Den kan därför verka avskräckande i sin omfattning på den som får ansvaret för certifieringen.
– Det är viktigt att välja ut de delar av standarden som är tillämpbar på den egna verksamheten. När det var gjort kände vi en stor lättnad, betonar Erik Fogelberg.
Tog knappt två år
För Gesab, som i dag har 250 anställda, tog det knappt två år från det att certifieringstanken väcktes till att de fick certifikatet i årsskiftet 2000-2001. De rena certifieringskostnaderna uppskattar Erik Fogelberg till mellan en och två miljoner kronor.
– Mycket av det vi gjort är sådant som jag bedömer att vi skulle ha genomfört även om vi inte certifierat oss. Men man ska ha i åtanke att vi hade en hög säkerhetsnivå från början. För företag med lägre nivå kan det nog bli betydligt mera kostsamt och ta längre tid, tror Erik Fogelberg.
Bättre koll på informationen
Han ledde i början arbetet med certifieringen ensam, och i slutskedet med hjälp av ytterligare en tjänst, som finns kvar och nu bland annat har till uppgift att förvalta certifikatet.
För att få behålla certifikatet krävs att man godkänns i de revisioner som Det Norske Veritas, DNV, gör med halvårsintervall, där de kontrollerar om det egna regelverket efterföljs och om incidenthanteringen sköts. Dessutom måste man se till att åtgärda eventuella avvikelser som DNV funnit inom tre månader.
Kvalitetscertifieringsarbetet har engagerat hela Gesabs organisation, från VD till enskilda konsulter.
– Det är kanske den största poängen med certifieringen, att alla i organisationen blir medvetna om frågorna, menar Erik Fogelberg.
På frågan om Gesabs arbete förändrats på något väsentligt sätt blir Erik Fogelbergs svar nej. Men han menar ändå att informationen i Gesabs händer är säkrare i dag än innan certifieringen.
– Förbättringen består i att vi har bättre kontroll på informationen i dag, vi är medvetna om var svagheterna finns på ett helt annat sätt än innan certifieringen, summerar Erik Fogelberg.