Case: 21grams (ISO 27001)

Markus Fredholm, VP of Product Management, var den som tog ansvaret att driva ISO27001-projektet i hamn och målar upp en tydlig bild av ett bolag med mycket driv och hunger.

På 21grams är det tydligt att personalen lägger fokuset på kunderna. Man har byggt upp ett snabbfotat och ambitiöst bolag, vilket blev tydligt när beslutet om att införa ISO27001 fattades. Ledningen var tydlig med att man inte accepterade att standarden skulle bli ett ok för organisationen, utan tvärtom var kravet att man måste kunna se effektiviseringar och att det förenklar för anställda. Målet blev att hitta en leverantör som kunde stötta i det här tankesättet.

Behovet uppstod i affären

I kölvatten av GDPR började det komma mer krävande frågebatterier från kunder eller potentiella kunder, där man upplevde informationssäkerhetsfrågor som svårast att hantera.

Hela vägen upp i ledningen förstod man att det affärsmässiga perspektivet skulle motivera dem till en ISO27001-certifiering. Målet var aldrig att bli bäst i klassen eller sätta upp överdrivet rigida säkerhetsstrukturer utan att stärka grundaffären. Det som formades skulle vara tillämpbart och enkelt att hantera i praktiken för att inte bli en papperstiger eller policies i en pärm i hyllan.

Med ISO27001 kom nya perspektiv och oväntade mervärden

Genom sin verksamhet har 21grams naturligt alltid haft god teknisk säkerhet, men med ISO27001 öppnade man upp ”humanperspektivet” och fick bättre förståelse för andra, högst relevanta, områden. Att bara jobba med tekniken kan innebära en falsk trygghet – men att kombinera en god teknisk säkerhet med människor och rutiner ger en gedigen grund att stå på.

Som en positiv bieffekt med projektet fick man också tillfället att ta tag i en del strukturkapital som var nyttigt. Resultatet blev mindre gnissel i processer och enklare att komma överens. Man ser interna effektiviseringar där man agerar på ett mer strukturerat sätt efter projektet. För uppkomna frågor finns nu en bättre process som gör att man snabbare kommer i mål.

Markus är dock tydlig med att målet inte innebär några stora avsteg från bolagets själ.

– Där andra kanske hade tagit fram flera olika och väldigt långa policies, har vi vår ”hands on-approach” kvar och landar kanske i en policy på 2-3 sidor. Det är otroligt lätt att gå vilse i djungeln och hamna i att det administrativa är det viktiga. Det är det inte.”

Att välja running mate

När man har som ambition att genomföra ett ISO27001-projekt effektivt, med enklast möjliga approach och utan onödigt ”lull-lull” behöver man en partner med samma inställning och kultur.

– När vi mötte Jon på Secify fick jag snabbt ett väldigt stort förtroende. När jag förklarade vår typ av entreprenöriella bolag så anpassade han sitt sätt att kommunicera med oss, sitt sätt att coacha, osv. Man måste vara en mogen och modig konsult för att våga anpassa sig på det sättet till vad kunden efterfrågar. Det finns människor som tycker att byråkratin i sig är väldigt mysig och rolig att jobba med. Vi behövde någon som hade fokus på att det i praktiken skulle vara så tillämpligt och lättarbetat som möjligt. Jag menar vår affär är något annat än ISO och en certifiering ska stärka det vi redan erbjuder.

Hela processen genomförde man på 12 månader, inklusive tre internrevisioner och själva certifieringen.

– Det går säkert att göra det både snabbare och långsammare, men för oss var ett år väldigt lagom för att få allt på plats och i praktiken få det att funka”, avslutar Markus.

Entreprenörens tips för att förenkla arbetet

På 21grams tror man på smarta genvägar som förenklar utan att sänka nivån på slutprodukten.
– Jag har använt en hel del ChatGPT för att få fram skelettet i vissa policies och dokument. På det sättet får du en hyfsad mall att utgå ifrån, som du sen anpassar för att få fram ert egna. Att anpassa är nästan det viktigaste i processen.”, tipsar Markus.

Man identifierade tidigt vikten av att fånga in individer i ledande befattning; mellanchefer såväl som ledningsnivå. Markus behövde få dem att förstå vad informationssäkerhet är, samt ge dem verktyg att göra rätt. Markus beskriver sin lösning:

– Jag har historiskt fungerat som en joker som har fått svara på lite allt möjligt. Nu har vi tagit fram policies, procedurer och rutiner – men hur skulle folk veta hur de ska användas? Jag valde att lösa det med utvecklingen av vår ”Management portal”. Den utgår från en ledares vardagliga bestyr som chef, med rekrytering, avsluts, löneförhandling, etc. I respektive fråga listas i portalen vilka resurser som knyter an till den specifika frågan. Exempelvis när någon byter roll, då är det en access policy som kommer påverka.

I portalen har man kompletterat manualer med coachande videos för att göra det enkelt att ta till sig, och man är noggrann med att se till att mycket mer än informationssäkerhet får ta plats i portalen.

– Informationssäkerhet måste vara inbäddad i den ordinarie verksamheten, annars kommer det aldrig fungera i praktiken, säger Markus. Portalen ska vara en hub där informationssäkerhet ingår som en naturlig del av ledarens vardag.
– Får vi i framtiden fler krav, säg exempelvis andra ISO-standarder, så kompletterar vi bara med det i portalens struktur, avslutar Markus.

Från Secifys sida säger vi grattis till att ha certifierat er organisation i linje med vår filosofi ”No nonsense security”! Ett hands on, pragmatiskt sätt att implementera ISO27001 – utan onödiga processer, krångliga arbetssätt, långa policies, och så långt från en pappersprodukt man kan komma.