ISO 27001: En forutsetning for å vinne kunder
Teknologileverandøren Volue har stor nytte av å jobbe med et fast rammeverk for informasjonssikkerhet.
– Verdien av sertifiseringen har i etterkant vært mye større enn at den vant oss en kunde, sier CISO Brynjar Larssen-Aas.
Volues ISO-sertifiseringsløp startet tilbake i 2017 da selskapet var i dialog med en større europeisk kunde om en stor kontrakt.
– Et av kravene deres var at vi var sertifisert på ISO 9001 og 27001. Da bestemte vi oss for å begynne sertifiseringsløpet, forteller Larssen-Aas.
DNV har vært selskapets revisor gjennom hele ISO-reisen.
Prosessen begynte i selskapet Powel, ett av fire selskaper som gikk sammen og ble til Volue i 2020.
I 2018 ble produktlinjen i Powel som skulle levere tjenesten til nevnte kunde, sertifisert – i tillegg til administrative tjenester som finans, IT, HR etc.
– Året etter ble hele Powel sertifisert, og markerte starten på det komplette sertifiseringsløpet. I 2020 ble Volue dannet, og i 2022 var det en omfangsutvidelse som omfattet hele Volue. I tillegg har vi gjort flere oppkjøp som har blitt sertifisert én etter én. I 2025 har vi en resertifisering av hele selskapet, sier Larssen-Aas.
Selve prosessen er det viktigste
Kunden ble vunnet og sertifiseringen ble dermed en suksesshistorie.
– Men som vår direktør Trond Straume sier: “As an industrial company like Volue, serving industries critical to society, our ISO certifications have gone from nice to have to a licence to operate”. Verdien av sertifiseringen har vært mye større enn at den skaffet oss en kunde, sier Larssen-Aas.
Han beskriver sertifiseringsløpet inkludert årlige revisjoner som en stegvis prosess. Med god ledelse og koordinering samt en grunnleggende modenhet i bunn, er ikke sertifiseringen spesielt vanskelig å gjennomføre.
– ISO 27001 er et rammeverk med tydelige krav til dokumentasjon, prosesser, roller og ansvar mv. Det vi ser i selskaper som ikke er sertifisert, er at det av og til kan mangle grunnleggende elementer for god sikkerhetshygiene og modenhet.
Der disse elementene mangler, kan årsaken være at behovet ikke er kjent eller tydeliggjort, eller at man har antatt at man har tilstrekkelig kontroll uten å måtte formalisere det.
– Det handler ikke om at dokumentasjonen må være formell eller komplisert. Poenget er ofte at det finnes en struktur og en prosess som brukes, vedlikeholdes og er dokumentert. Dette kan gjennomføres i eksisterende verktøy og rammeverk som teamet allerede bruker. Det viktige er at prosessen eksisterer, brukes og er tydelig for alle.
Et selskap under angrep!
I 2021 ble Volue rammet av et stort ransomware-angrep. Ville selskapet vært rustet til å håndtere dette hvis de ikke hadde gjennomført sertifiseringsløpet på ISO 27001?
– Sannsynligvis ville situasjonen vært verre uten sertifiseringen. Et godt eksempel er beredskapsplanen vi hadde på plass – et dokument som definerer ulike scenarier, tiltak og krav for håndtering av dem, både teknisk og organisatorisk, sier CISO Brynjar Larssen-Aas.
Han legger til at arbeidet med sertifiseringen sikret at en slik plan var på plass og bidro til å definere klare roller og ansvar: hvem som skulle varsles, hvem som skulle gjøre hva og annet som måtte på plass for å sikre en effektiv og god start på håndteringen av angrepet.
– Dette gjorde at vi kunne håndtere situasjonen uten mye friksjon. På dag 1 av et cyberangrep – da ingenting føles enkelt – opplevde vi at planen fungerte. Alle visste hva de skulle gjøre, og vi hadde interne team klare for ulike deler av håndteringen. Rollefordelingen gikk smidig, og det kan vi i stor grad takke beredskapsplanen for.
Larssen-Aas forteller at selskapet i etterkant har forbedret beredskapsplanen med et vedlegg – en playbook som spesifikt beskriver hvordan de skal håndtere ransomware-angrep.
– Dette har gitt oss enda bedre forutsetninger for å reagere effektivt i fremtiden, fastslår han.
Basis for god sikkerhetskultur
– Hva har sertifiseringen gitt Volue i praksis?
– Som en leverandør til kritisk infrastruktur har sertifisering vært verdifull for oss. Men å jobbe ut fra et definert rammeverk er noe som kan hjelpe alle organisasjoner, uansett størrelse og modenhet. For mindre virksomheter gir det en struktur og en klar retning å følge. For større selskaper finnes det alltid noe å forbedre – du kan alltid gå tilbake til rammeverket og finne nye områder å utvikle.
– Å jobbe systematisk ut fra slike standarder har vært uvurderlig for oss. Det gir noe å lene seg på, og hjelper samtidig med å få gjennom viktige beslutninger.
Larssen-Aas legger også vekt på at standarden har vært med på å definere en basis rundt roller og ansvar i hele selskapet, heve sikkerhetsfokuset i ledelsen, tydeliggjøre ledelsen og styrets ansvar og verdien av en risikobasert tilnærming til sikkerhet.
– Dette er en solid basis for en god sikkerhetskultur!
Revisjon som en inspirasjon
Verdien av en god revisor kan ikke undervurderes – en erfaren og trygg revisor kan utgjøre en stor forskjell, både for selve revisjonsprosessen og for sikkerhetskulturen i selskapet.
En nøkkelfaktor for å lykkes med revisjon er å gjøre de involverte trygge på at det ikke er de som personer som blir vurdert, men prosessene.
.jpg)
– En god revisor formidler dette på en måte som skaper tillit. Vår revisor har en unik evne til å skape ro og trygghet i intervjuene, samtidig som han er erfaren nok til å stille de rette spørsmålene og navigere gjennom de ulike svarene, sier Larssen-Aas.
Han har flere ganger hørt ansatte beskrive hvordan de har gått inn i revisjonsmøter med høye skuldre, men kommet ut med en positiv opplevelse.
– Mange har fortalt at de ikke bare har fått en ny forståelse av sikkerhet, men også blitt inspirert til å ta arbeidet videre. Dette er selve kjernen i revisjonen: den styrker ikke bare prosessene, men også holdningene til sikkerhetsarbeid, og bidrar til å bygge og vedlikeholde en god sikkerhetskultur.
Etter hver revisjon får Volue overlevert en rapport som gir konkrete tilbakemeldinger og områder for forbedring. Å utbedre funnene i etterkant er med på å styrke sikkerheten kontinuerlig.
Utfordrer oss til å bli bedre
– Volue er et selskap i kontinuerlig vekst og utvikling, og vi har alltid områder vi jobber med å forbedre. For å måle fremgangen bruker vi de 93 kontrollene i standarden som vår sikkerhets-KPI. Denne KPI-en evaluerer vi to ganger i året gjennom en omfattende prosess: deler av standarden og kontrollene sendes ut til en bred gruppe ansatte, som selv evaluerer sikkerhetsmodenheten på vegne av avdelingene sine, som utvikling, drift, HR, support og IT.
Dette fungerer som en selvvurdering som gir selskapet et helhetlig bilde av hvordan ulike deler av organisasjonen forholder seg til standarden. Resultatene aggregeres og presenteres som en samlet sikkerhets-KPI.
– Deretter kan vi dykke dypere ned i resultatene for å identifisere områder med forbedringspotensial – og det er naturligvis en blanding av sterke sider og områder som krever mer arbeid.
– Funn fra KPI-målingene kan naturligvis settes sammen med de årlige revisjonene. I hver revisjonsrunde vi har med vår DNV-revisor setter vi søkelyset på nye områder av både standarden og organisasjonen. Dette sikrer at vi hele tiden løfter sikkerhetsnivået og utfordrer oss selv til å bli bedre.
– Hva er den største verdien med å opprettholde sertifiseringen fremover?
– Det å ha et rammeverk å støtte seg på, og jobbe for kontinuerlig forbedring, er selvsagt en stor fordel i seg selv. Men det handler også om noe mer: Det hjelper oss i kommunikasjonen og bidrar til å bygge tillit, både hos nye og eksisterende kunder. Ved å ha en tredjeparts bekreftelse på at vi jobber i henhold til et etablert rammeverk, kan vi tydelig vise at vi tar sikkerhet og kvalitet på alvor.
Han tror vi kommer til å se flere uavhengige sertifiseringer og sikkerhetsrapporter fremover, etter hvert som bedrifter må tilpasse seg kravene i NIS2-direktivet. Det stiller strengere krav til kontroll av sikkerheten i forsyningskjeden, og en tredjeparts rapport eller sertifikat kan være en verdifull bekreftelse både for leverandører og kunder. Den gir en uavhengig vurdering av leverandørens sikkerhetstiltak og -modenhet, og kan gjenbrukes overfor flere kunder, i stedet for at man stadig må bruke tid og ressurser på å fylle ut – og vurdere - ulike spørreskjemaer og kravdokumenter.
— Det er mye overlapp mellom sikkerhetsrammeverkene og standardene, så dette tror jeg i mange tilfeller vil være verdifullt og tidsbesparende, men det krever tillit til den uavhengige tredjeparten som gjør sertifiseringen eller skriver rapporten og det krever at kundene godtar slike rapporter – i stedet for å insistere på å bruke egne skjemaer og kravformuleringer, sier Larssen-Aas, som allerede ser tegn på at denne utviklingen begynner å ta form.