När säkerhet stärker affären
Att sköta personuppgifter och annan känslig information är ett löpande arbete som kräver mycket uppmärksamhet. För bolag som väljer att gå hela vägen och göra en ISO-certifiering finns det konkurrensfördelar.
– Min bedömning är att alla som hanterar personuppgifter bör ha ett ledningssystem för informationssäkerhet. Det skapar säkerhet och en ordning och reda som gör att man känner sig tryggare med att allt man hanterar sköts i enlighet med GDPR och andra lagar och förordningar. För vår del har det varit i form av att säkerhetsklassificera oss med ISO 27001, säger Thomas Cars, vd på Sence Research.
Känsliga data
Sence Research ägnar sig åt att skapa modeller för att bättre kunna följa upp hur läkemedel fungerar när de används i en klinisk vardag och i rutinsjukvården och startade sin verksamhet med utgångspunkt i en doktorsavhandling från Uppsala universitet.
I det bygget hanterar man mycket och ofta information som personuppgifter och företagshemligheter, som gör att säkerhetshanteringen hamnar högt på dagordningen.
Det är en fantastisk investering.
Thomas Cars, vd, Sence Research
– Jag arbetade tidigare på Stockholms läns landsting och var ofta i kontakt med forskargrupper som ville kunna ta del av sådan här information, och kände direkt att om vi skulle starta ett företag som ville analysera den här sortens uppgifter måste de ha ett förtroende för oss, säger Thomas Cars.
Mejl och forskningsinformation
Thomas Cars erfarenheter gjorde att man på Sence Research satte igång med sitt ledningssystem för informationssäkerhet redan under när företaget grundades, trots att man ännu inte hade några kunder. Valet föll på ISO 27001 – en internationell säkerhetsstandard för informationshantering.
Man kan säga att ISO 27001 fungerar som en checklista och ställer bland annat krav på att man systematiskt uppdaterar och ser om sina säkerhetsrutiner, och att man riskklassificerar sina datamängder i alltifrån mejl till forskningsinformation.
– Att följa den här standarden har gett oss en enorm trygghet, även om det har tagit tid och var mer omfattande än jag kanske trodde från början. En av utmaningarna är ju att inte slå av på takten när själva implementationen är i hamn, utan vara medveten om att det är ett löpande förbättringsarbete. Men det har aldrig varit någon fråga om att backa, säger Thomas Cars.
En konkurrensfördel
Än så länge är det inte mer än ett 80-tal företag i hela Sverige som använder ISO 27001-standarden. Men Thomas Cars tror att den siffran kommer att växa, delvis i ljuset av att medierapporteringen kring säkerhetshaveri på myndigheter och andra bolag har ökat. Dessutom kan ett införande ge konkurrensfördelar.
– Vi signalerar att även ett litet företag som vi hanterar den här typen av rigida säkerhetsledningssystem. Har man en gång samarbetat med någon med en sådan här standard vill man troligen fortsätta att göra det i andra upphandlingar eller liknande också. Det tror jag kommer göra att många få upp ögonen för ISO 27001 framöver.
Vad har du för råd till någon som är intresserad av ISO 27001?
– Har man inte informationssäkerhetskunskap inom företaget bör man förstås ta hjälp av någon som kan. Även om vi har gjort mycket själva hade det aldrig gått utan konsultstöd. Och som med allt annat krävs det att man ger det tid. Bara en sån sak som att det finns 114 olika kontroller inkluderade i ramverket. Det tar en stund att tugga i sig, men det är en fantastisk investering.
Läs mer om ämnet:
