Hos många företag börjar arbetet med ökad medvetenhet om informationssäkerhet med krav som följer på en ISO-certifiering. Men för Sonat, är det snarare en del av själva affären.
- Vi har använt ISO 27001 som en ”ledstång” i vårt arbete med ökad digital säkerhet, berättar Johan Svensson. Men den har inte varit den drivande faktorn i vårt arbete. För oss är detta en viktig del i hela den digitala transformationen.
Medvetenhet viktig del av ramverket
Arbetet med ökad informationssäkerhet behöver bedrivas på flera nivåer. På Sonat implementeras nu ett ramverk med allt från rollbeskrivningar till tekniska aspekter och krav på underleverantörer. I detta ramverk är också en ökad medvetenhet hos alla medarbetare en viktig del.
- Vi har medarbetare i många olika länder och tidzoner. Vi kan helt enkelt inte samla alla för gemensamma informationsträffar. När vi kom i kontakt med Junglemap såg vi att NanoLearning skulle kunna vara en fungerande metod.
Nu har Sonat använt NanoLearning i ett år och Johan Svensson märker att metoden fungerar. Det är högre aktivitet i digitala frågelådor, högre grad av en nyttig misstänksamhet och medarbetare som spontant stannar till och ställer frågor. På de större digitala personalmötena lyfts även informationssäkerheten upp till diskussion som ett sätt att ytterligare säkerställa att budskapen nått fram.
- Vi märker att det pratas mer om säkerhet nu. Både i verksamheten och med våra kunder, konstaterar Johan Svensson.
Del av säkerhetskultur
På Sonat har man även använt sig av Junglemaps Phishing-tester, vilket har lett till nyttiga lärdomar för folk som klickat på felaktiga länkar. En effekt som först ofta leder till ”skämskudde”, men sedan följs upp med en säkerhetskultur som motverkar skam och avdramatiserar fel och brister – och framför allt uppmanar och gör det enkelt att rapportera eventuella fel och misstag.
- Där har vi fått bra råd och stöd från Junglemap om hur vi på ett smidigt sätt kan hjälpa folk att anmäla saker. Samtidigt är detta en del av en bredare företagskultur, konstaterar Johan Svensson.
En av framgångsfaktorerna i säkerhetsarbetet har varit engagemanget från Sonats IT-avdelning med ”spjutspetsar med väldigt god verksamhetskunskap” som Johan Svensson beskriver kollegorna. Den typen av proaktivt arbete har också bidragit till att arbetet med informationssäkerheten nu även är en del av verksamhetens ledningssystem och att företagsledningen har frågan på agendan.
Säkerhet viktig i dialogen med kunder
För Sonat är som sagt detta med cybersäkerheten en konkurrensfördel i dialogen med nya och befintliga kunder. Att kunna hänvisa till en fungerande metod där medarbetarna utbildas i informationssäkerhet är en styrka. Samtidigt är spannet i kundernas reaktioner väldigt brett. Allt ifrån uppdragsgivare som ställer tydliga och tuffa krav – till andra som knappt känner till att det finns några krav att ställa.
- Många företag gör stora insatser – när olyckan redan är framme. För oss är det viktigt att jobba förebyggande, både internt och tillsammans med våra leverantörer och kunder.
