Vad är nyckeln till ett framgångsrikt arbete med informationssäkerhet i en global koncern? Många organisationer kämpar med att få en enhetlig strategi för att hantera riskerna och samtidigt möta ökade krav.
Någon som vet vad detta innebär är Magnus Carling, som arbetar som Chief Information Security Officer (CISO) på Stena AB. Han är inte bara en erfaren CISO, utan har dessutom 29 års erfarenhet inom Stena AB. Det är en erfarenhet som kommer väl till pass i koncernen, där man möter allt från regulatorisk komplexitet till gränsöverskridande hot.
Självstyrande – utom inom informationssäkerhet
Som en av tre koncerner i det som kallas för Stena-sfären är det inte bara en stor verksamhet sett till omsättningen – 50 miljarder kronor. Stena AB verkar inom en rad områden. Det handlar om färjetrafik, oljeborrning, sjöfart och fastigheter samt andra innehav som till exempel trädgårdsbutiker.
Denna stora och komplexa koncern bygger i hög grad på en självstyrande princip. Ägaren vill i hög grad att verksamheterna ska sköta sig själva. Det betyder att verksamheterna i så hög grad som möjligt leder sitt eget arbete. Något som till exempel är fallet med inköp eller med HR-arbetet, där det sammanlagt finns 20 avdelningar.
Men det finns ett viktigt undantag, enligt Magnus:
- När det gäller säkerhet är vi medvetna om att vi aldrig är bättre än den svagaste länken. För skurkarna räcker det med att hitta en väg in. Man kan likna det vid ett hus där du sätter lås och larm på källarfönstret och alla dörrarna. Men om fönstret på övervåningen står öppet så finns det en väg in.
Det finns många vägar in i en komplex verksamhet. Då fungerar det inte att låta alla sköta säkerheten själva, enligt Magnus. Därför har Stena fattat beslutet att jobba centralt med frågan.
Magnus Carling, Chief Information Security Officer på Stena AB
Stratsys förenklar och avlastar
I en stor koncern som Stena AB är en nyckelfråga hur det går att stödja alla områden inom informationssäkerhet. Här är Stratsys GRC-verktyg helt avgörande för att lyckas, menar Magnus.
Filosofin är att nyttja de verktyg som står till buds istället för att köpa nya. Lösningen är att använda ett verktyg som stödjer mer än ett område, vilket är vad Stena får med Stratsys.
- Tack vare Stratsys har vi internkontroll, vi arbetar med balanserat styrkort och har börjat jobba med Stratsys produkt för informationssäkerhet. Vi har även tittat på den funktionalitet kopplad till att utvärdera tredjepartsleverantörer som numera finns i Stratsys.
Stratsys förenklar mycket. Det är oerhört värdefullt i en komplex miljö.
Valet av Stratsys inom GRC innebär en avsevärd förenkling och avlastning. Verksamheterna behöver bara svara på kraven en enda gång, även om ett krav råkar finnas i fler ramverk. Det innebär en avsevärd förenkling i en så komplex miljö som hos Stena AB.
..mycket av arbetet sker automatiskt, vilket också gör det enklare att lyckas med efterlevnaden inom organisationen.
Tack vare Stratsys slipper medarbetarna mata in data manuellt eller förlita sig på Excel-dokument. Istället sker mycket av arbetet automatiskt, vilket också gör det enklare att lyckas med efterlevnaden inom organisationen.
Ledningssystem för informationssäkerhet
I mittpunkten för arbetet står Stena AB:s ledningssystem för informationssäkerhet, som bygger på ISO/IEC 27000. I arbetet ingår att arbeta utifrån en modell i flera steg.
- Första steget är riskanalyser där vi kartlägger behov och sårbarheter. Det lägger vi mycket tid på, inte minst eftersom vi är ett rörligt mål där mycket händer. Därför försöker vi att alltid komma in så tidigt som möjligt i projekten.
Utifrån riskanalysen utformar Magnus och kollegorna policyer, förfaranden och cyberförmågor. Även detta innebär en utmaning med tanke på koncernens storlek och bredd. De behöver granska sina affärsområden för att bedöma vad som verkligen är kritiskt – och hur de kan skyddas på bästa sätt.
Nästa steg i ledningssystemet handlar om att styra projekten. Det handlar om att hantera incidenter, men även frågan om uppföljning, både general controls och ett antal analyser. Genom analyserna får de reda på utfallet. Fanns en policy som alla verkligen förstod och uppfattade? Har bolagen gjort vad de ska när det gäller förfaranden?
Sist men inte minst gäller det att lansera uppdateringar och förbättringar samt att analysera sina förmågor. Modellen fungerar som ett hjul där man därefter är tillbaka i att försöka förstå verksamheterna och gå vidare utifrån det.
För en så enorm koncern som Stena AB gäller det att hela tiden vara proaktiv. Kriminella aktörer har mycket tid och pengar, är väldigt innovativa och duktiga på att hitta nya angreppssätt. Det är en ständig dragkamp.
Riskarbete på flera nivåer
För att hantera säkerhetsarbetet har Stena AB en styrgrupp på gruppnivå, där övergripande beslut fattas. Framför allt arbetar dock Magnus och kollegorna direkt mot de olika bolagen.
Riskarbetet kopplat till företag hanteras av kommittéer för informationssäkerhet. Aktiviteterna hanteras sedan genom team som koordinerar arbetet, där medarbetare från de olika bolagen ingår.
- Det är inte alltid vi arbetar så formellt. Ibland jobbar vi med informella grupper och ibland bara mot intressenter. Det mesta händer på teamnivån, där vi arbetar mer handgripligen tillsammans med medarbetare inom IT-säkerhet.
Efterlevnad – en prioriterad fråga
Vilka utmaningar finns det på Stena AB kopplat till arbetet med informationssäkerhet? Hoten kommer från flera olika håll, internt men även externt.
Idag är störningarna fler än någonsin. Magnus pekar på att det i världen finns omkring 100 stater med den offensiva förmågan att angripa varandra. Det kan både handla om att störa och om att tjäna pengar. I det sistnämnda fallet kan det även handla om kriminella som ägnar sig åt exempelvis ransomware.
Efterlevnad är ett område som Magnus pekar ut som en prioriterad fråga:
- Det finns mycket att ta hänsyn till på det regulatoriska området, allt från GDPR till NIS2 och AI Act. Inom EU går man långt vad det gäller viten och krav på efterlevnad. I grund och botten är det dock bra med krav med tanke på hur svårt det är att säkra upp en så komplex miljö. På det sättet ger EU oss draghjälp vilket vi är tacksamma för.
Krav på leverantörerna med Stratsys
Leverantörsfrågan är en av de största utmaningarna idag. Det handlar både om antalet leverantörer, men även om svårigheten i att skydda sig.
Alla leverantörerna hanterar vår information på ett eller annat sätt. Det är en fråga som vi just nu tittar på inom ramen för arbetet med Stratsys.
Att lyckas handlar om att ställa krav på leverantörerna och att granska dem på ett effektivt sätt, eftersom alla leverantörer hanterar Stenas information på ett eller annat sätt. Det är en fråga som man just nu tittar på inom ramen för arbetet Stratsys, berättar Magnus.
Även om arbetet med informationssäkerhet aldrig tar slut står en sak klar. På Stena AB har man kommit långt på vägen.
Vill du veta mer om hur Stratsys kan hjälpa er med ert informationssäkerhetsarbete? Kontakta oss så berättar vi gärna mer. Du kan även läsa mer om Stratsys produkt för Informationssäkerhet och Dataskydd här.
Magnus råd för att lyckas inom informationssäkerhet:
- Fokusera på risk. Var konsekvent i det som du fokuserar på i arbetet.
- Hög integritet. Leverera sanningar även om de är jobbiga att höra.
- Säkerhet i linje med affärsmålen. Säg inte bara nej. Fråga dig istället hur lång tid det tar att säga ja.
- Tillåt lokala anpassningar. Även med höga krav kan man tillåta undantag om det finns goda skäl till det.
- Förankring i ledningen. Stödet är oerhört viktigt för att få genomslag i verksamheten.
- Säkerhetskultur. Medvetande är bra, men cybersäkerhetskultur är avgörande. Skapa en lärandekultur som gör att medarbetarna vill anmäla.
- GRC-verktyg. Sist men inte minst är det viktigt att se till att ha ett bra verktyg för att hantera arbetet.
.png?width=2500&height=1353&name=ljus%20gradient%20(1).png)
