Hva er nøkkelen til et vellykket informasjonssikkerhetsarbeid i et globalt konsern? Mange organisasjoner sliter med å få en helhetlig tilnærming til risikohåndtering samtidig som de skal oppfylle økende krav.
En som vet hva dette innebærer, er Magnus Carling, som jobber som Chief Information Security Officer (CISO) i Stena AB. Han er ikke bare en erfaren CISO, men han har også 29 års erfaring fra Stena AB. Det er en erfaring som kommer godt med i konsernet, der man står overfor alt fra komplekse regelverk til trusler på tvers av landegrensene.
Selvstyrt - bortsett fra når det gjelder informasjonssikkerhet
Som ett av tre konsern i det som kalles Stena-sfæren, er det ikke bare en stor virksomhet målt i omsetning - 50 milliarder svenske kroner. Stena AB driver virksomhet på en rekke områder. Blant annet fergetjenester, oljeboring, shipping, eiendom og andre eierinteresser som hagesentre.
Dette store og komplekse konsernet er i stor grad basert på et prinsipp om selvstyre. Eieren ønsker i stor grad at virksomhetene skal drive seg selv. Det betyr at virksomhetene i størst mulig grad styrer sitt eget arbeid. Det gjelder for eksempel innkjøp eller HR-arbeidet, der det finnes totalt 20 avdelinger.
Men det finnes ett viktig unntak, ifølge Magnus:
- Når det gjelder sikkerhet, erkjenner vi at vi aldri er bedre enn det svakeste leddet. For skurkene er det nok å finne en vei inn. Det er som i et hus der du setter lås og alarm på kjellervinduet og alle dørene. Men hvis vinduet ovenpå står åpent, er det en vei inn.
Det er mange veier inn i en kompleks organisasjon. Derfor fungerer det ikke å la alle ta seg av sikkerheten selv, mener Magnus. Derfor har Stena bestemt seg for å jobbe sentralt med dette.
Magnus Carling, Chief Information Security Officer i Stena AB
Stratsys forenkler og avlaster
I et stort konsern som Stena AB er et sentralt spørsmål hvordan man skal støtte alle områder av informasjonssikkerhet. Her er Stratsys GRC-verktøy avgjørende for å lykkes, sier Magnus.
Filosofien er å bruke de verktøyene som er tilgjengelige, i stedet for å kjøpe nye. Løsningen er å bruke et verktøy som støtter mer enn ett område, og det er det Stena får med Stratsys.
- Takket være Stratsys har vi internkontroll, vi jobber med balansert målstyring og har begynt å jobbe med Stratsys produkt for informasjonssikkerhet. Vi har også sett på funksjonaliteten knyttet til evaluering av tredjepartsleverandører som nå er tilgjengelig i Stratsys.
Stratsys forenkler mye. Det er ekstremt verdifullt i et komplekst miljø.
Valget av Stratsys innen GRC innebærer en betydelig forenkling og avlastning. Organisasjoner trenger bare å svare på krav én gang, selv om et krav tilfeldigvis finnes i flere rammeverk. Dette innebærer en betydelig forenkling i et så komplekst miljø som Stena AB.
...mye av arbeidet gjøres automatisk, noe som også gjør det lettere å oppnå samsvar i organisasjonen.
Takket være Stratsys slipper medarbeiderne å legge inn data manuelt eller bruke Excel-dokumenter, i stedet gjøres mye av arbeidet automatisk, noe som også gjør det enklere å oppnå samsvar i organisasjonen.
Styringssystem for informasjonssikkerhet
Sentralt i arbeidet står Stena ABs styringssystem for informasjonssikkerhet, som er basert på ISO/IEC 27000. Arbeidet innebærer blant annet at man arbeider ut fra en flertrinnsmodell.
- Det første trinnet er risikoanalyser der vi kartlegger behov og sårbarheter. Dette bruker vi mye tid på, ikke minst fordi vi er et bevegelig mål der det skjer mye. Derfor forsøker vi alltid å komme inn så tidlig som mulig i prosjektene.
Basert på risikoanalysen utformer Magnus og kollegene hans retningslinjer, prosedyrer og cyberkapabiliteter. Dette er en annen utfordring, gitt konsernets størrelse og bredde. De må gå nøye gjennom forretningsområdene sine for å vurdere hva som virkelig er kritisk - og hvordan de best kan beskytte dem.
Det neste trinnet i styringssystemet handler om å styre prosjektene. Dette innebærer håndtering av hendelser, men også oppfølging, både generelle kontroller og en rekke analyser. Gjennom analysene finner de ut hva som ble resultatet. Fantes det en policy som alle virkelig forstod og etterlevde? Gjorde bedriftene det de skulle i forhold til prosedyrer?
Sist, men ikke minst, må de rulle ut oppdateringer og forbedringer og analysere kapasiteten deres. Modellen fungerer som et hjul, der man går tilbake til å forsøke å forstå aktivitetene og beveger seg videre derfra.
For et så stort konsern som Stena AB er det viktig å være proaktiv hele tiden. Kriminelle aktører har mye tid og penger, er veldig innovative og flinke til å finne nye innfallsvinkler. Det er en konstant dragkamp.
Risikoarbeid på flere nivåer
For å styre sikkerhetsarbeidet har Stena AB en styringsgruppe på konsernnivå, der de overordnede beslutningene tas. Men først og fremst jobber Magnus og kollegene hans direkte med de ulike selskapene.
Risikoarbeidet knyttet til selskapene styres av informasjonssikkerhetskomiteer. Aktivitetene håndteres deretter av team som koordinerer arbeidet, og som består av medarbeidere fra de ulike selskapene.
- Vi jobber ikke alltid så formelt. Noen ganger jobber vi med uformelle grupper, og noen ganger bare med interessenter. Det meste av arbeidet skjer på teamnivå, der vi jobber mer hands-on med IT-sikkerhetsmedarbeiderne.
Etterlevelse - et prioritert tema
Hvilke utfordringer er det i Stena AB knyttet til arbeidet med informasjonssikkerhet? Truslene kommer fra flere ulike kanter, både internt og eksternt.
I dag er det flere forstyrrelser enn noen gang. Magnus peker på at det finnes rundt 100 stater i verden som har offensiv evne til å angripe hverandre. Det kan både handle om å forstyrre og å tjene penger. I det siste tilfellet kan det også dreie seg om kriminelle som for eksempel driver med løsepengevirus.
Etterlevelse er et område som Magnus trekker frem som et prioritert område:
- Det er mye å ta hensyn til på det regulatoriske området, fra GDPR til NIS2 og AI-loven, og EU går langt når det gjelder bøter og krav til etterlevelse. Men i bunn og grunn er det bra med krav, med tanke på hvor vanskelig det er å sikre et så komplekst miljø. På denne måten gir EU oss et løft, og det er vi takknemlige for.
Krav til leverandører hos Stratsys
Leverandørspørsmålet er en av de største utfordringene i dag. Det handler ikke bare om antallet leverandører, men også om hvor vanskelig det er å beskytte seg.
Alle leverandører håndterer informasjonen vår på en eller annen måte. Dette er en problemstilling som vi for tiden ser på i forbindelse med vårt arbeid med Stratsys.
Suksess handler om å stille krav til leverandørene og revidere dem på en effektiv måte, fordi alle leverandører håndterer Stenas informasjon på en eller annen måte. Dette er en problemstilling som vi for tiden ser på innenfor rammen av arbeidet med Stratsys, sier Magnus.
Selv om arbeidet med informasjonssikkerhet aldri tar slutt, er det én ting som er klart. Hos Stena AB har de kommet langt.
Vil du vite mer om hvordan Stratsys kan hjelpe dere i bærekraftsarbeidet deres? Kontakt oss, så forteller vi gjerne mer. Du kan også lese mer om Stratsys sitt produkt for Informasjonssikkerhet og Databeskyttelse her.
