Tieto R&D Services, med verksamhet i bland annat Karlstad, är en av de största enheterna i Sverige som hittills certifierats enligt ISO 27001-standarden för informationssäkerhet – och det gjordes med stöd från Veriscan Security i Karlstad.

Arbetet sträckte sig över närmare två kalenderår, engagerade drygt tusen medarbetare på 10-tal orter och ”överlevde” två större omorganisationer.

”Tieto gjorde allt rätt redan från början – därför klarade de av det komplexa arbetet”, säger Jan Branzell på Veriscan Security som hjälpte Tieto att nå certifieringen.

”Vi har haft stor hjälp av Jan Branzell och övriga i teamet från Veriscan – framför allt när det gäller att tolka krav och begrepp i den omfattande ISO 27001-standarden”, säger Bennet Hedin som är ledare för ISO 27001-programmet på Tieto R&D Services.

Och Jan Branzell borde veta. Han har varit medlem i den svenska kommittén för ISO-standardisering sedan 2000 och har en aktiv roll i det internationella standardiseringsarbetet kring informationssäkerhet – bland annat som co-editor för ISO 27003, standarden för implementering.

 
”Konsten ligger i att lägga säkerhetsnivån på rätt nivå och att få hela organisationen att förstå och följa säkerhetsreglerna”

”Hela certifieringsarbetet är en förändringsprocess som inte kan köpas färdig och klar – det är ett arbete som bara kan göras internt och utformas av organisationen själv”, betonar Jan Branzell som ser Veriscans roll mer som ”bollplank” och externt expertstöd i Tieto-projektet än ren resursförstärkning.

”Konsten ligger i att lägga säkerhetsnivån på rätt nivå och att få hela organisationen att förstå och följa säkerhetsreglerna”, säger han: ”Certifieringen är bara ett kvitto på att verksamheten har ett dokumenterat ledningssystem för informationssäkerheten”.

”Drygt tusen personer – alla chefer och konsulter i hela organisationen – har varit engagerade i projektet och detta har bidragit till att höja säkerhetsnivån”, konstaterar Bennet Hedin: ”Fortsätter förbättringarna i den här takten kan vi bli bland de bästa i Sverige på säkerhet”.

Syftet med certifieringen är att stärka företagets affärer och konkurrenskraft gentemot övriga konsultbolag: ”Våra största kunder kräver att vi ska arbeta på ISO 27001-nivå eftersom vi har förtroendet att hantera deras information. Och med strukturerat säkerhetsarbete kan vi spara mycket pengar genom att gör riskbedömningar innan vi vidtar åtgärder”.

ISO 27001 innebär en relativt omfattande certifieringsrevision – i Tietos fall tog revisionen 15 dagar jämfört med 10 dagar för ISO 9001.
Och att förbereda sig för certifieringen är också omfattande och komplext – i Tietos fall sträckte sig arbetet över närmare två kalenderår.

”ISO 27001 är en av de tuffare standarderna eftersom den berör alla i en organisation”, förklarar Jan Branzell.

”Nyckeln till framgång ligger i att använda sunt förnuft och veta var man hittar informationen – med det når man tillräckligt långt”.

Tieto anpassade standardens generella krav till konkreta aktiviteter i form av nya säkerhetsregler som komplement till koncernens gemensamma säkerhetsregler. Nästa steg var att utbilda och initiera alla i organisationen i HR-säkerhet, IT-säkerhet, fysisk säkerhet och informationssäkerhet. ”Nyckeln till framgång ligger i att använda sunt förnuft och veta var man hittar informationen – med det når man tillräckligt långt”.

De mest centrala funktionerna för Tieto är säkerhetsriskanalys och kontinuitetsplaner för affärsverksamheten (Business Continuity Planning) för att säkra att verksamheten fortgår även vid allvarliga incidenter.

Tieto R&D Services är en av de största privata verksamheterna i landet som ISO 27001-certifierats enligt vad Jan Branzell känner till. ”Det var en komplex och föränderlig certifieringsprocess som tog tid och klarade två större omorganisationer”, tillägger han.

Komplex – därför att Tieto R&D Services är en global leveransenhet med drygt 4.000 konsulter i nio länder i en koncern med närmare 17.000 anställda. En ISO-certifiering är nationell och gäller i detta fall bara verksamheten i Sverige och Danmark med cirka 850 konsulter på nio orter.

Arbetet ställde också krav på att vara föränderligt – därför att Tieto under tiden genomgick två större organisatoriska förändringar med allt vad det innebär av nya chefer och nya roller för medarbetarna. ”Att projektet klarade detta bekräftar två viktiga förutsättningar – dels att Tieto har en stark och stabil projektorganisation som klarar förändringar i linjeorganisationen; dels att det fanns ett tydligt ledningsinitiativ och stöd med klara mål under hela tiden”, säger Jan Branzell.

Nästa steg för Bennet Hedin och Tieto är att återanvända lösningarna från ISO 27001-certifieringen inom övriga länder där R&D Services har verksamhet. ”Vi har lärt oss massor av projektet i Sverige – detta ska vi nu givetvis dra nytta av”.

Nästa steg för Jan Branzell och Veriscan är att fortsätta stödja olika organisationer i arbetet med informationssäkerhet som blir allt viktigare för företag och myndigheter. ”ISO 27001 är en IT-tung standard som växt snabbast i Asien men får nu allt mer global spridning som är just nyttan med att arbeta enligt ISO standarder. Här i Sverige är det hittills mest myndigheter och mindre organsiationer som certifierats – men det blir också allt fler större företag inklusive IT-företag”.
 
Tieto R&D Services är en global leveransenhet inom Tieto med drygt 4.000 konsulter i nio länder. I Sverige har Tieto R&D Service närmare 850 anställda på åtta orter varav Karlstad är störst med drygt 400 konsulter. Mikael Nordlander är chef för den globala verksamheten och Cristina Petrescu är chef för den svenska verksamheten. Båda är verksamma med Karlstad som bas.

Veriscan Security erbjuder rådgivning och verifiering av informationssäkerhet samt kvalificerade tekniktjänster och utbildning inom området. Kunder är större organisationer inom privat och offentlig sektor. Jan Branzell – som var med och startade företaget – är medlem i den svenska kommittén för ISO-standardisering och har en aktiv roll i det internationella standardiseringsarbetet kring informationssäkerhet.

ISO/IEC 27000-serien är en samling säkerhetsstandarder utgivna av standardiseringsorganisationerna ISO och IEC. I Sverige är beteckningen för serien SS-ISO/IEC 27000.