Så jobbar vi med informationssäkerhet och GDPR

I en orolig omvärld där cyber-attacker har blivit vardag, måste företag ha informationssäkerhet och integritet som högsta prio. Inom vår bransch är det antagligen viktigare än i många andra, vilket har lett till att vi på ToFindOut har såväl en specialist på informationssäkerhet, Sune Nanberg, som ett dataskyddsombud, Mimmi Suua. Tillsammans ser de till att hela företaget och våra bakgrundskontroller genomsyras av ett säkerhets- och integritetsstänk.

Vi har pratat med Sune och Mimmi för att förstå hur ToFindOut som organisation ser till att ta ett helhetsgrepp med informationssäkerheten, hur säkerheten blir en långsiktig process och hur vi måste hålla arbetet med detta i ständig rullning.

För att förenklat förklara vad vårt säkerhetsarbete går ut på, så innebär det att säkra verksamhetens kritiska information. Sune beskriver det så här:

Vi jobbar med att säkerställa att vår kritiska information har det skydd det behöver. Kort sagt grundar sig allt i risktänk och vilka risker vi som organisation har. Det gäller att ha ögonen öppna efter nya hot och göra bedömningar, så att vi har rätt skydd på plats. Utöver det så ser vi till att informationssäkerhetsarbetet, som alla andra processer, stödjer verksamhetens långsiktiga mål.

Genom tätt samarbete lyckas Mimmi och Sune att kombinera sina lite olika infallsvinklar till informationssäkerheten. Mimmi har en juridisk och teoretisk bakgrund och är expert på legala frågor, vilket gör att hon ansvarar för vårt dataskydd, och Sune har mer faktisk arbetslivserfarenhet inom informationssäkerhet, därav hans ansvar inom det. Tillsammans är de ett starkt team.

För att få ut säkerhetstänket i hela företaget har Sune bland annat gjort en risk och sårbarhetsanalys tillsammans med ledningsgruppen. Högsta ledningen är på så sätt involverad i informationssäkerhetsarbetet på ToFindOut, allt för att få så mycket förankring och förståelse som möjligt. Hela företaget har även fått kompetenshöjande insatser, som gett en bas i anställdas säkerhetstänk. På sådant sätt når de hela organisationen, allt från utförandet av bakgrundskontroller till tekniska projekt. Mimmi berättar att kvittot på att de är involverade i verksamheten kommer i form av frågor och funderingar från olika team. Detta visar att alla är måna om att få in säkerhetstänk i alla olika delar av företaget och olika processer. De båda är även med i uppstart av olika projekt och under projektens gång, för att säkra att säkerheten beaktas.

Vad finns det då för utmaningar inom detta? Mimmi säger så här:

Något som alltid är en utmaning är att arbeta med GDPR – eftersom det inte finns mycket praxis på området ännu. De flesta tar idag den försiktigare vägen, liksom vi, då mycket befinner sig i någon slags gråzon.

Utöver det anser hon att informationssäkerhet ibland är en balansgång. Det finns en tillsynsmyndighet som ska se till att individers integritet skyddas, vilket är rätt. Samtidigt har Sveriges och omvärldens risk- och sårbarhet ökat markant det senaste året. Detta skapar ett behov hos ToFindOuts kunder att kunna förstå eventuella risker som kommer av det. Mer personinformation efterfrågas och hanteras därför. Och här behöver man få rätt nivå och balans på intresseavvägningen.

Enligt Sune är en annan utmaning de ökade hoten mot verksamheter i samhället, med bland annat störningar hos myndigheter och it-attacker – och det gäller att kunna möta dem. Det är snabbrörliga hot, så omvärldsbevakning och kunskap inom informationssäkerhetsområdet är ett måste.

Andra utmaningar som finns är att hålla säkerhetsarbetet konstant levande och alltid flytta fram positionerna. Annars tappas lätt nivån på säkerheten.

I arbetet framåt är både vårt dataskyddsombud och vår informationssäkerhetsansvarige enade om att vi har en väldigt hög nivå på skyddet av vår information och arbetet med integritet idag, och att vi måste ha ett ständigt pågående arbete med detta för att inte tappa takten.

Psst – du vet väl om att vi är medlemmar i Bakgrundskontrollföretagen (BKF)?