Alle selskaper trenger ikke en ISO 27001-sertifisering. Men hvis du vil vise at ditt selskap aktivt arbeider med informasjonssikkerhet og oppfyller krav fra ulike interessenter og lover, er en sertifisering en god investering. Men veien dit er sjelden rett, og tøffe krav stilles både til deg som CISO, og hele selskapet. Her forteller Stratsys sin CISO Per Gustavsson om hvordan vi oppnådde en ISO 27001-sertifisering på bare åtte måneder, og fremhever hvilke nøkkelfaktorer som er avgjørende for å lykkes.
Hva innebærer en ISO 27001-sertifisering?
En ISO 27001-sertifisering er et stempel på at et selskap tar informasjonssikkerhet på alvor. Sertifiseringen forutsetter en strukturert og effektiv arbeidsmetodikk for informasjonssikkerhetsarbeidet. Å oppnå ISO 27001-sertifisering er en betydelig prestasjon, men det krever nøye planlegging og utførelse.
Alle selskaper trenger ikke en ISO 27001-sertifisering, men det kreves at selskapet anvender et systematisk arbeid med informasjonssikkerhet. En positiv side ved sertifiseringen er at en ekstern part vurderer og bekrefter at arbeidet deres oppfyller de fastsatte målene rundt informasjonssikkerhetsarbeidet. Det blir dermed lettere å vite hvilke tiltak som kreves og hva selskapet bør fokusere på fremover. Det blir også en enklere kommunikasjon med underleverandører, da du ved å kommunisere at dere har en ISO 27001-sertifisering reduserer mengden av informasjonssikkerhetsspørsmål med rundt 90 prosent.
Verdien av en ISO 27001-sertifisering
Det er egentlig ikke sertifiseringen i seg selv som spiller en rolle, men det systematiske informasjonssikkerhetsarbeidet som et selskap gjennomfører. En ISO-sertifisering er en beste praksis som viser at arbeidet ditt selskap utfører, blir gjort riktig. På den ene siden viser selskapet utad at informasjonssikkerhet tas på alvor, på den andre siden finnes det verktøy på plass for kontinuerlig å holde intern kontroll på informasjonssikkerhetsarbeidet og gjøre løpende forbedringer.
Personvernforordningen skapte ærlig talt en viss panikk da den kom, men for selskaper som hadde rutiner for å håndtere stadig endring, var den mye lettere å navigere. Med andre ord; har du allerede strategier på plass og gjør ting riktig, vil det være mye enklere når en ny lov trer i kraft.
Hold deg oppdatert på kommende lovgivninger
Da EU Cyber Security Act trådte i kraft i 2019, ble det introdusert en rekke lovgivninger. Alle lovene forutsetter en systematisk tilnærming til databeskyttelse og informasjonssikkerhet, og en ISO-sertifisering er en effektiv måte å holde seg oppdatert og à jour med nye lovgivninger. Følgende lovgivninger er spesielt i fokus:
- GDPR – Personvernforordningen som ble vedtatt i 2016 og trådte i kraft i 2018.
- DORA (Digital Operational Resilience Act) – Forordningen ble vedtatt i 2023 med krav om etterlevelse fra januar 2025.
- NIS & NIS2 – Vedtatte direktiver; NIS trådte i kraft i 2018 og NIS2 trådte i kraft 18. oktober 2024.
- CER (Critical Entities Resilience Directive) – Direktiv som ble vedtatt i 2022, og som gjelder fra 10. oktober 2024.
- EU AI Act B – Forslaget kom i 2021, og det var under utarbeiding i 2023. Forhåpentligvis begynner det å gjelde fra 2025.
- CRA (Cyber Resilience Act) – Forordning som kom som forslag i 2020. En beslutning bør komme i 2024, og begynne å gjelde fra 2026.
5 nøkkelfaktorer for å lykkes med sertifiseringen
Det er mulig å utføre sertifiseringen på et halvår, dersom et forarbeid allerede er gjort, hvilket vanligvis tar omtrent ett år. Etter at beslutningen om å sertifisere er tatt, gjør du et internt arbeid og henter eventuelt inn noen utenifra for analyse. Deretter kontakter du sertifiseringsorganet.
"Kulturen og personalet er virkelig alfa og omega for å lykkes"
Hvor lang tid prosessen tar avhenger til en viss grad av om dere tar inn noen for å hjelpe til eller om dere gjør det selv, mener Per. Vi kjørte på, til tross for at vi visste at vi hadde mangler og ville få avvik. Det er ganske selvsagt at man vil ha avvik ettersom verden forandrer seg; og vi forandrer oss etter det. Men man har tre måneder på seg til å rette opp avvikene, og med vårt kompetente personale og gode bedriftskultur, i kombinasjon med et godt forarbeid og systemstøtte på plass, visste jeg at vi kunne fikse det. Akkurat kulturen og personalet er virkelig alfa og omega for å lykkes, noe som er viktig å påpeke.
Per Gustavsson, CISO i Stratsys
1. Begynn med deres customer success-funksjon.
En suksessfaktor for å finne ut hvordan arbeidet fungerer er å starte med customer success-funksjonen. Gjennom customer success måler du hvordan det går med selskapet, og det er derfor et utmerket utgangspunkt for å begynne å se på den interne sikkerheten. Basert på tilbakemeldinger fra kundene dine kan du trekke ut vanlige spørsmål som ofte dukker opp, og få informasjon om eventuelle alvorlige sikkerhetshendelser.
Utgå fra hva deres core business er - kjernen i selskapet. For oss som SaaS-selskap er vår core business den programvaren og tjenesten vi leverer. Det viktigste er at vår tjeneste, våre leveranser og support fungerer. Et selskap er mest sårbart når kjernen i virksomheten blir utsatt, dermed er det bra å begynne akkurat der.
2. CISO som koordinator og støttespiller
Som informasjonssikkerhetsansvarlig er du koordinator for hele prosessen. Det er tydelig hva som må gjøres i form av risikovurderinger; og å oppfylle sertifiseringens ulike punkter gjennom disse. Det er du som sørger for at mulighetene finnes for å drive gjennom sertifiseringen, selv om informasjonssikkerhet gjelder alle i selskapet. For å lykkes må du implementere det i det daglige arbeidet og innføre endringer løpende.
Ta også hjelp av en referansegruppe med personer fra HR, juridisk avdeling og utvikling. All endring påvirker jo de ansatte, noe som gjør det ekstra viktig å ha med HR. Det er bra å ha en mindre gruppe å diskutere med og ikke belaste ledergruppen for mye.3. Alle er delaktige
Hvis du først uken før oppfølgingsrevisjonen begynner å jobbe med arbeidet, har du tenkt feil. Arbeidet må fordeles på hele organisasjonen, og du må løpende gjennom året sørge for at alle er delaktige. Alle skal bidra, selv om noen selvsagt vil ha et større ansvar.Forsøk å vise hvordan de ansatte skal gjøre det, heller enn å bare fortelle hva de skal gjøre. Fordel ansvaret for risikovurderinger innen forskjellige områder og fortell hvilke utfordringer du ser. Kommuniser at du vil hjelpe til med å identifisere risiko, og still enkle spørsmål for å hjelpe dem videre. Se på deg selv som en mentor, ikke som en sjef. Du er der for å hjelpe, lede og tilby de rette forutsetningene for at de skal kunne gjøre jobben sin – selv om det vil være utfordrende for mange. Kort sagt: opptre som deres støtte i vanskelige situasjoner.
4. Systemstøtte
Bedriften din kommer til å få avvik, men forhåpentligvis ingen store. Uten en systemstøtte kan arbeidet bli vanskelig å utføre, men det avhenger helt av deres forutsetninger, og er ikke noe alle bedrifter trenger. For vår del var systemstøtten vår en sterkt medvirkende faktor til at arbeidet gikk så smidig. Blant annet ble datainnsamlingen fra de ulike delene av bedriften vår forenklet, og det ble lettere for medarbeiderne å fokusere på og utføre oppgavene sine. Inkludert i systemstøtten finnes støtte for lovkrav knyttet til nettopp informasjonssikkerhet, noe som også gjorde prosessen mye enklere.5. Få med deg ledelsen
Til slutt er en vanlig utfordring å få med seg ledelsen. Det finnes ulike måter å gjøre dette på, men generelt sett handler det om å forstå organisasjonen og hvem du snakker til. Selv om budskapet er det samme for administrerende direktør og ledergruppen, kan du måtte formulere det på et språk som respektive ledelsesnivå forstår.La en ledelsesøvelse vekke liv i ledelsen
En utmerket øvelse å utsette ledelsen for er Kalix-scenariet, som tar utgangspunkt i cyberangrepet som slo ut store deler av Kalix kommunes virksomhet i 2021. Ledelsesgruppen konfronteres med dette scenariet og får i oppgave å diskutere hva som bør gjøres.
Etter 15 minutter ringer det i en valgfri kommunikasjonsenhet. Det er en journalist fra TV4 med tøffe spørsmål i bagasjen (men egentlig er det noen du ber om å ringe og late som de er journalist). Antakeligvis vil ledelsesgruppen ønske at CISO eller CTO tar samtalen, men du meddeler at dessverre er CISO hjemme med sykt barn og CTO har fått halsbetennelse. Administrerende direktør må ta samtalen.
Når jeg selv gjør denne øvelsen, håper jeg faktisk at det ikke skal gå bra, for det øker bevisstheten og får deltakerne til å innse alvoret i hva som kan skje. Hvis du ikke hadde ledelsens oppmerksomhet før, så har du det etter denne øvelsen. Jeg lyktes med mitt forsøk, men jeg hadde allerede full tillit og oppmerksomhet fra dag én. Så må man ta godt vare på den tilliten.
Vil du vite mer om systemstøtten vår og hvordan den kan hjelpe selskapet ditt med å raskere oppnå en ISO 27001-sertifisering? Les mer om plattformen eller kontakt oss for mer informasjon.