Alla företag behöver inte en ISO 27001-certifiering. Men om du vill visa att ditt företag aktivt arbetar med informationssäkerhet och uppnår krav från olika intressenter och lagar, är en certifiering en bra investering. Men vägen dit är sällan spikrak och tuffa krav ställs på både dig som CISO och hela företaget. Här berättar Stratsys CISO Per Gustavsson om hur vi nådde en ISO 27001-certifiering på bara åtta månader, och lyfter vilka nyckelfaktorer som är avgörande för att lyckas.
Vad innebär en ISO 27001-certifiering?
En ISO 27001-certifiering är en stämpel på att ett företag tar informationssäkerhet på allvar. Certifieringen förutsätter ett strukturerat och effektivt arbetssätt för arbetet med informationssäkerhet. Att uppnå ISO 27001-certifiering är en betydande prestation, men det kräver noggrann planering och utförande.
Alla företag behöver inte en ISO 27001-certifiering, däremot krävs att företaget tillämpar ett systematiskt arbete med informationssäkerhet. En positiv aspekt av certifieringen är att en extern part granskar och bekräftar att ert arbete uppfyller era uppsatta mål kring informationssäkerhetsarbetet. Det blir därmed lättare att veta vilka insatser som krävs och vad företaget bör fokusera på framåt. Det blir även smidigt i kommunikationen med underleverantörer då du genom att kommunicera att ni har en ISO 27001-certifiering minskar mängden av informationssäkerhetsfrågor med runt 90 procent.
Värdet av en ISO 27001-certifiering
Det är egentligen inte certifieringen i sig som spelar roll, utan det systematiska informationssäkerhetsarbete som ett företag tillämpar. En ISO-certifiering är en best practice som visar att arbetet ditt företag gör utförs korrekt. Dels visar företaget utåt att informationssäkerhet tas på allvar, dels finns verktyg på plats för att kontinuerligt hålla intern koll på informationssäkerhetsarbetet och göra löpande förbättringar.
Dataskyddsförordningen spred i ärlighetens namn viss panik när den kom, men för företag som hade en rutin för hur man hanterar ständig förändring var den mycket lättare att navigera. Med andra ord, har du redan strategier på plats och gjort rätt kommer det vara mycket enklare så fort en ny lag träder i kraft.
Häng med i kommande lagstiftningar
I och med att EU Cyber Security Act trädde i kraft 2019 presenterades en rad lagstiftningar. Samtliga lagar förutsätter ett systematiskt arbetssätt för dataskydd och infosäkerhet, och en ISO-certifiering är ett effektivt sätt att hänga med i utvecklingen och hålla sig à jour med nya lagstiftningar. Främst i fokus är följande lagstiftningar:
- GDPR – Dataskyddsförordningen som beslutades 2016 och trädde i kraft 2018.
- DORA (Digital Operational Resilience Act) – Förordningen beslutades 2023 med krav på efterlevnad från januari 2025.
- NIS & NIS2 – Beslutade direktiv; NIS började gälla 2018 och NIS2 börjar gälla 18 oktober 2024.
- CER (Critical Entities Resilience Directive) – Direktiv som beslutades 2022, och som gäller från 10 oktober 2024.
- EU AI Act B – Förslaget kom 2021, och det är under utarbetning under 2023. Förhoppningen är att det är klart 2023 och börjar gälla från 2025.
- CRA (Cyber Resilience Act) – Förordning som kom som förslag 2020. Under 2023 pågår arbetet med förordningen och beslut bör komma 2024 och börja gälla 2026.
5 nyckelfaktorer för att lyckas med certifieringen
Det är möjligt att utföra certifieringen på ett halvår, om ett förarbete redan gjorts, vilket i regel tar ungefär ett år. Efter att beslut tagits om att certifiera gör du ett internt arbete och plockar eventuellt in någon utifrån för analys. Sen kontaktar du certifieringsorganet.
"Just kulturen och personalen är verkligen a och o för att lyckas"
Hur lång tid processen tar beror till viss del på om ni tar in någon för att hjälpa till eller om ni kör på själva menar Per. Vi körde på, trots att vi visste att vi hade brister och skulle få avvikelser. Det är rätt självklart att man kommer att ha avvikelser i och med att världen förändrar sig och vi förändras utefter det. Men man har tre månader på sig att rätta till avvikelserna, och med vår kompetenta personal och goda företagskultur i kombination med ett gott förarbete och systemstöd på plats visste jag att vi kunde fixa det. Just kulturen och personalen är verkligen a och o för att lyckas, vilket är viktigt att poängtera.
Per Gustavsson, CISO på Stratsys
1. Börja med er customer success-funktion
En framgångsfaktor för att ta reda på hur bra arbetet fungerar är att börja med er customer success-funktion. Genom customer success mäter du hur företaget mår och det är därför en utmärkt utgångspunkt för att börja se över hur den interna säkerheten är. Baserat på feedbacken från era kunder kan ni bryta ut vanliga frågor som brukar komma upp, och få information om eventuella allvarliga säkerhetsincidenter.Utgå ifrån vad er core business är, kärnan i företaget. För oss som SaaS-bolag är vår core business den mjukvara och tjänst vi levererar. Det viktigaste är att vår tjänst, våra leveranser och support funkar. Ett företag är som mest sårbart när kärnan i verksamheten blir utsatt, därmed är det bra att börja just där.
2. CISO som koordinator och stöttepelare
Som informationssäkerhetsansvarig är du koordinator för hela processen. Det är tydligt vad som behöver göras i form av riskanalyser och att genom dessa uppfylla certifieringens olika punkter. Det är du som ser till att möjligheterna finns för att driva igenom certifieringen även om informationssäkerhet gäller alla på företaget. För att lyckas behöver du implementera det i det dagliga arbetet och införa förändringar löpande.
Ta även hjälp av en referensgrupp med personer från HR, legal och utveckling. All förändring påverkar ju personalen, vilket gör det extra viktigt att ha med HR. Det är bra att ha en mindre grupp att bolla med och inte belasta ledningsgruppen för mycket.3. Alla är delaktiga
Om du först veckan innan uppföljningsrevisionen kommer igång med arbetet har du tänkt fel. Arbetet måste fördelas ut på hela organisationen och du behöver löpande under året se till att alla är delaktiga. Alla ska bidra, även om vissa givetvis kommer att ha ett större ansvar.Försök visa hur de anställda ska göra snarare än att säga vad de ska göra. Fördela ut ansvaret för riskanalyser inom olika områden och berätta vilka utmaningar du ser. Kommunicera att du kommer hjälpa till att ta fram risker, och ställ enkla frågor för att hjälpa dem framåt. Se dig själv som en mentor, inte chef. Du finns där för att hjälpa till, leda och erbjuda rätt förutsättningar för att de ska kunna göra sitt jobb – även om det kommer att vara utmanande för många. I korthet: agera som deras ångestbärare.
4. Systemstöd
Ditt företag kommer att få avvikelser, men förhoppningsvis inga större. Utan ett systemstöd kan arbetet bli tufft att utföra, men det beror helt på era förutsättningar, och är inget som alla företag behöver. Men för vår del var vårt systemstöd en starkt bidragande faktor till att arbetet fortlöpte så smidigt. Bland annat förenklades datainsamlingen från våra olika delar av företaget, och det blev lättare för medarbetarna att fokusera på och utföra sina uppgifter. Inkluderat i systemstödet finns stöd för lagkrav kopplade till just informationssäkerhet vilket också gjorde processen mycket enklare.5. Få med dig ledningen
Slutligen är en vanligt förekommande utmaning är att få med sig ledningen. Det finns olika sätt att göra det på, men generellt sett handlar det om att förstå organisationen och vem du talar till. Även om budskapet är detsamma för VD och ledningsgrupp kan du behöva formulera det på ett språk som respektive ledningsnivå förstår.Låt en ledningsövning väcka liv i ledningen
En utmärkt övning att utsätta ledningen för är Kalix-scenariot, som tar utgångspunkt i den cyberattack som slog ut stora delar av Kalix kommunens verksamhet 2021. Ledningsgruppen bemöts av detta scenario och får i uppgift att diskutera vad som bör göras.
Efter 15 minuter ringer det i en valfri kommunikationsanordning. Det är en journalist på TV4 med tuffa frågor i bagaget (men egentligen är det någon du ber att ringa och låtsas vara journalist.) Antagligen kommer ledningsgruppen vilja låta CISO eller CTO ta samtalet, men du meddelar att dessvärre vabbar CISO:n och CTO:n har fått halsfluss. VD:n måste ta samtalet.
När jag själv gör den här övningen hoppas jag faktiskt att det inte ska gå bra, för det ökar medvetenheten och får deltagarna att inse seriositeten i vad som kan hända. Om du inte hade ledningens uppmärksamhet innan så har du det efter den här övningen. Jag lyckades med min ansats men jag hade redan fullt förtroende och uppmärksamhet från dag ett. Då får man vårda det förtroendet väl.
Vill du veta mer om vårt systemstöd och hur det kan hjälpa ditt företag att snabbare driva igenom en ISO 27001-certifiering? Läs mer om plattformen eller kontakta oss för mer information.
