"ISO er som en lille bibel for os"

Hver dag passerer enorme datamængder PostNord Strålfors’ systemer. Det er Åke Andersson, der har det endelige ansvar for informationssikkerheden.
– Kunderne stiller krav, og vi leverer. Sværere er det egentlig ikke, siger han.

Åke-Andersson.jpg

ISO er en serie internationale standarder, der kan danne grundlag for bl.a. ledelse, miljø eller sikkerhed i en organisation. Det er en grundtanke, at man skal kunne finde forbedringsmuligheder, fx ved at spore årsagerne til de fejl, der sker.

Åke Andersson er informationssikkerhedsansvarlig i PostNord Strålfors. Han har ansvaret for informationssikkerheden i it-miljøet, hvem der har adgang til hvad i systemerne, hvad der skal være krypteret, og hvordan data lagres. 

– Jeg kommer ind på et senere tidspunkt, når vores salgsorganisation har gjort sit, og vi skal i gang med at arbejde med kundens løsninger, fortæller han.

PostNord Strålfors har en række færdige løsninger, fx Mobilfaktura, Dynamisk kommunikation og We Mail, for blot at nævne et par eksempler.

– Her er alle processerne til hver enkelt løsning på plads. Når en kunde køber dem, ved vi, hvordan vi skal håndtere sikkerheden, siger Åke Andersson.

Hvis der er tale om en mere kompleks kundeløsning, er PostNord Strålfors og kunden nødt til at sætte sig ned og definere opgaven sammen. 

Bedre efter GDPR

– ISO er som en lille bibel for os i vores arbejde. Det er noget, som hjælper os med alt, siger Åke Andersson.

I dag sendes alle data via sikker filoverførsel, såkaldt SFTP.

– Det er en af mange forbedringer. Takket være GDPR, den nye persondataforordning, er alle processer blevet kigget godt efter i sømmene, og alle svage led er fjernet. 

– Nu forlanger vi for eksempel, at alle data sendes mellem kunden og os via sikker filoverførsel, såkaldt SFTP. Tidligere var det ikke et krav, siger Åke Andersson.

Ifølge Åke Andersson er aftalerne også blevet markant forbedret efter GDPR.

– Alle har været nødt til at gennemgå deres NDA’er (Non Disclosure Agreement) og DPA’er (Data Protection Agreement), og det har betydet, at meget er faldet på plads, siger han og fortsætter: 

– Meget af vores arbejde styres naturligvis allerede af vores ISO 27001- og 27002-krav, som vi fuldt ud lever op til. Som noget nyt med GDPR skal der indgås en DPA med hver enkelt kunde. Kunderne har ifølge GDPR krav på, at PostNord -Strålfors som databehandler har en databehandleraftale, fordi de ejer oplysningerne. 

Hvis der sker noget uforudset

Åke Andersson fortæller, at hans job består af rigtig meget skrivebordsarbejde og mange møder. Alligevel er der ikke to dage, der er ens.

– Jeg er meget i dialog med virksomheden. Der er meget, der skal være styr på.

– I vores aftaler med kunderne indgår reguleret revision. Det vil sige, at vi regelmæssigt mødes og følger op på, at alt fungerer, som det skal.  

Revisionen kan dreje sig om alt muligt – den fysiske sikkerhed, hvordan infrastruktur og informationssikkerhed er opbygget, eller hvordan vores sikre netværk er opbygget.

– Det afhænger simpelthen af, hvad kunden ønsker at vide, siger Åke Andersson.

PostNord Strålfors har også planer parat til brug i forbindelse med både større og mindre uregelmæssigheder.

– Vi har opbygget vores infrastruktur på samme måde overalt, så vi nemt kan flytte produktionen fra ét fysisk sted til et andet, siger Åke Andersson.

– Men vores BCP (Business Continuity Plan) er så veletableret og færdig, at det slet ikke er sikkert, at jeg bliver indblandet, hvis der sker noget. 

Åke Andersson informeres til gengæld om de fleste it-relaterede hændelser. Og skulle der mod forventning indtræffe større problemer, aktiveres PostNord Strålfors’ DRP (Distaster Recovery Plan).

– Så har vi fuldt fokus på at sikre og flytte data, så vi hurtigt får gang i virksomheden igen.

GDPR har gjort en stor forskel

Lars Lundström fra PostNord Strålfors beskriver GDPR som et wakeupcall.

– I dag overvejer alle, hvilke data de har brug for. Sådan har det ikke altid været, siger han.

Lars Lundström er ansvarlig for PostNord Strålfors’ digitale tjenester og håndterer mange spørgsmål om, hvordan kunderne skal arbejde med data og arkivering. Han bruger som eksempel kundeservice i virksomheder, som før GDPR kunne have arkiver med en enorm historik – data, som ingen havde brug for. 

– Intet blev slettet. Med GDPR er der en standardisering som fundament, og i stedet diskuterer man afvigelser. Resultatet er sundere arkiveringsvaner og bedre datahåndtering, siger han og fortsætter:

– Da alle er nødt til at have helt styr på tingene, er de nødvendige processer og regler nu blevet indført. Uden undtagelse.

Alle påvirkes af it- og sikkerhedsspørgsmål i deres daglige arbejde. 

– Det grundlæggende er, at vi efter GDPR er nødt til at ændre vores måde at arbejde på, siger Lars Lundström.