MED ISO KAN TEAMENGINE MÖTA ÖKADE KUNDKRAV OCH EFTERLEVA GDPR

Transkript

1 MED ISO KAN TEAMENGINE MÖTA ÖKADE KUNDKRAV OCH EFTERLEVA GDPR

2 Med ISO kan TeamEngine möta ökade kundkrav och efterleva GDPR Molntjänstföretaget TeamEngine möttes av ökade säkerhetskrav från sina kunder. Genom att bli ISO-compliant kunde de både tillgodose de nya kundkraven, stärka säkerheten i den egna tjänsten och samtidigt ge sig själva ett försprång inför GDPR. Molntjänstföretaget TeamEngine är Sveriges största leverantör av portaler för styrelsearbete. De är lokaliserade i Stockholm med 19 anställda och har ägnat sig åt tjänster riktade mot styrelser i cirka 20 år. Tidigare i år blev de även utsedda till Di-Gasellföretag. Eftersom TeamEngine tillhandahåller en IT-baserad tjänst har de alltid säkerhet i åtanke och jobbar aktivt för att upprätthålla en hög skyddsnivå: I så pass stor utsträckning att säkerhet har blivit ett av företagets tre ledord tillsammans med enkelt och flexibelt, berättar Anders Gröndahl, VD på företaget. Rätt processer skapar affärsnytta När företaget ställdes inför ökade säkerhetskrav från kunder började Anders och hans kollegor överväga att stärka sitt säkerhetsarbete ytterligare genom att bli ISO-compliant. ISO-standarden innebär att man som organisation arbetar och hanterar olika säkerhetsrisker på ett strukturerat sätt genom att etablera policys, instruktioner och rutiner. Avsikten är att organisationen ska designa, implementera, upprätthålla och ständigt förbättra en uppsättning säkerhetskontroller och åtgärder för att hantera alla typer av hot mot dess informationstillgångar. Efter både interna diskussioner och extern konsultation tog TeamEngine beslutet att inleda arbetet mot att bli ISO compliant. Samtidigt gjorde de bedömningen att det saknades tillräckliga interna resurser och kompetens för att implementera och bedriva processerna helt på egen hand, och valde därför att leta efter en samarbetspartner. - Vi hade framförallt en specifik kund som krävde ISO-compliance, vilket till slut avgjorde saken. När vi väl hade tagit beslutet att implementera ISO-

3 standarden i verksamheten började vi undersöka vilka processer som skulle prioriteras och hur vi snabbast kunde få dem på plats. För ett litet bolag som oss är det viktigt att kunna urskilja vilka element som är mest affärskritiska och vilka som har störst effekt på affärsnyttan. När vi träffade Sentors konsulter presenterade de ett bra business case som identifierade vad vi skulle fokusera på för att uppnå just det, vilket avgjorde att valet föll på dem, berättar Anders. Viktigt men resursintensivt arbete Ett ISO-projekts omfattning baseras till stor del på hur många av de efterfrågade rutiner och processer organisationen redan har på plats och vad som behöver åtgärdas. I TeamEngines fall har implementationen av ISO inneburit ett stort och kontinuerligt arbete som har kostat både tid och resurser, menar Anders: - Vi hade antagligen behövt en resurs som bara jobbar med att implementera ISO på heltid, men det har små bolag som oss sällan kapacitet till. De som vill höja säkerheten på sitt bolag kommer märka att det är resursintensivt och tar tid ISO gör man inte klart i en handvändning om man bedriver annan verksamhet parallellt. Där har Sentors konsulter kunnat hjälpa till genom att avlasta det arbetet och samtidigt se till att vi hela tiden rör oss framåt i rätt kurs. ISO ger ett försprång i GDPR-racet Delar av de rutiner ISO bygger på kan initialt upplevas som överflödiga och svåra att applicera på mindre verksamheter likt TeamEngines. Det kan till exempel handla om processerna kring on- och off-boardning. Ett litet bolag har sannolikt färre anställda, system och verktyg, vilket gör dem lättare att hantera i jämförelse med större bolag med fler anställda. När GDPR träder i kraft i maj 2018 kommer dessa rutiner bli viktiga även för det lilla bolaget, tror Anders. Förordningen ställer höga krav på hanteringen av känslig data och personuppgifter på ett sätt som den som har jobbat med ISO redan är välbekant med och har implementerat adekvata rutiner för. Som ett ytterligare steg i vägen mot GDPRcompliance har TeamEngine även tagit hjälp av Sentor med att inventera data, utföra en DPIA (Data Protection Impact Assessment) samt identifiera kontroller för långsiktig efterlevnad.

4 - Vår stora vinst med ISO, inser vi nu, är att det har underlättat arbetet med att efterleva GDPR. I och med att standarden ställer krav på att allt ska dokumenteras så har vi mycket bättre koll på vår data. Det gör att de processer vi tidigare har upplevt som lite onödiga, till exempel onoch off-boarding, nu har fått ett större syfte i och med GDPR. Hela ISO-arbetet har helt klart gett oss ett försprång i kampen om att hinna få allt på plats innan förordningen träder i kraft, avslutar Anders. Vill du veta hur Sentor kan hjälpa er? Med ett team av konsulter av konsulter inom informationssäkerhet står vi redo att stötta er organisation i arbetet med att efterleva ISO och GDPR. Kontakta oss genom att skicka ett mail till eller genom att slå oss en signal på.

5 Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd Stockholm +46 (0) Sentor MSS AB Adelgatan Malmö +46 (0)