Turvallisuus on tärkeintä

PostNord Strålforsin järjestelmässä kulkee joka päivä valtava määrä tietoa. Tietoturvallisuuden ylin vastuuhenkilö on Åke Andersson.
– Asiakkaat asettavat vaatimukset ja me toimitamme. Ei se ole oikeastaan sen vaikeampaa, Åke sanoo.

Åke-Andersson.jpg

ISO on sarja kansainvälisiä standardeja, jotka voivat olla perusta esimerkiksi hallinnolle, ympäristölle ja turvallisuudelle organisaatiossa. Perusajatuksena on mahdollisuuksien löytäminen parannuksille esimerkiksi jäljittämällä virheiden syitä.

Åke Andersson on PostNord Strålforsin tietoturvavastaava. Hän vastaa IT-ympäristön tietoturvasta, järjestelmän eri osien käyttöoikeuksista, salattavista osista ja tietojen tallennustavoista. 

– Tulen mukaan myöhemmässä vaiheessa, kun myyntiorganisaatiomme on tehnyt osansa ja meidän on aika työskennellä asiakkaan ratkaisujen parissa, Åke kertoo.

PostNord Strålforsilla on paljon valmiita ratkaisuja, kuten Mobilfaktura, Dynamic Communication ja We Mail – helppoa viestintää.

– Kaikki ratkaisukohtaiset prosessit ovat selkeitä. Asiakkaan ostaessa ratkaisun tiedämme, miten turvallisuutta on käsiteltävä, Åke Andersson kertoo.

Mutkikkaammassa asiakasratkaisussa PostNord Strålforsin ja asiakkaan täytyy määrittää toimeksianto yhdessä. 

GDPR parantaa

– ISO ohjaa työtämme. Se auttaa meitä kaikessa, sanoo Åke Andersson.

Nykyään kaikki tiedot lähetetään suojatun tiedostonsiirron, niin kutsutun SFTP:n, avulla.

– Yksi monista parannuksistamme on, että uuden GDPR-tietosuoja-asetuksen ansiosta kaikki prosessit on käyty kunnolla läpi ja kaikki heikot lenkit korjattu. 

– Vaadimme esimerkiksi nykyään, että kaikki meidän ja asiakkaan välillä kulkevat tiedot lähetetään turvallisen SFTP-tiedonsiirron avulla. Aiemmin tätä ei vaadittu, Åke Andersson sanoo.

Åke Andersson näkee suuria GDPR:n mukaisia parannuksia myös sopimusasioissa.

– Kaikkien on ollut pakko käydä läpi NDA:nsa (Non Disclosure Agreement) ja DPA:nsa (Data Protection Agreement), joten paljon paloja on loksahdellut paikoilleen, hän sanoo ja jatkaa: 

– Suurta osaa työstämme ohjaavat luonnollisesti jo omat ISO 27001- ja 27002-vaatimuksemme, joita noudatamme täysimääräisesti. GDPR:n myötä uutta on, että jokaisen yksittäisen asiakkaan kanssa tehdään DPA-sopimus. Asiakas voi GDPR:n mukaisesti vaatia, että PostNord Strålforsilla on käsittelijänä käsittelysopimus, koska asiakas omistaa tiedot. 

Odottamattoman sattuessa

Åke Andersson kertoo, että hän tekee työtään suurelta osin kirjoituspöydän takana ja palavereissa. Mutta yksikään päivä ei ole toisen kaltainen.

– Käyn paljon dialogia eri toimintojen kanssa. Varmistettavaa on paljon.

– Asiakassopimuksissamme on sovittu tarkastuksista. Ne tarkoittavat, että tapaamme säännöllisesti ja seuraamme, että kaikki toimii niin kuin pitää.  

Tarkastus voi koskea kaikkea mahdollista, kuten fyysistä turvallisuutta ja infrastruktuurin, tietoturvan tai turvaverkkojen rakennetta.

– Se riippuu kokonaan siitä, mitä asiakas haluaa tietää, Åke Andersson sanoo.

PostNord Strålforsilla on myös suunnitelmia valmiina sekä suurille että pienille häiriöille.

– Olemme rakentaneet infrastruktuurin samalla tavalla kaikkialla, joten voimme siirtää tuotannon helposti yhdestä fyysisestä paikasta toiseen, Åke Andersson selvittää.

– Mutta BCP:mme (Business Continuity Plan) on niin vakiintunut ja valmis, ettei osallistumiseni siihen ole edes varmaa. 

Sen sijaan Åke Andersson saa tiedon useimmista IT-järjestelmiin liittyvistä tapahtumista. Jos jotakin suurempaa tapahtuu vastoin odotuksia, otetaan käyttöön PostNord Strålforsin DRP (Disaster Recovery Plan).

– Silloin teemme kaikkemme tietojen turvaamiseksi ja siirtämiseksi niin, että toimintamme voi jatkua nopeasti.

GDPR on tehnyt suuren eron

PostNord Strålforsin Lars Lundström kuvaa GDPR-asetusta herätykseksi.

– Nykyään kaikki miettivät tarkasti tarpeensa. Aiemmin ei aina ollut niin, Lars sanoo.

PostNord Strålforsin digitaalisten palveluiden vastuuhenkilönä Lars Lundström käsittelee paljon kysymyksiä siitä, miten asiakkaat työskentelevät tiedon ja arkistoinnin parissa. Hän kertoo esimerkkinä yrityksen asiakaspalvelut, joista ennen GDPR-asetusta saatettiin arkistoida valtavasti tietoa, jota kukaan ei tarvinnut. 

– Mitään ei poistettu. GDPR perustuu standardeihin, ja keskustelun aiheena ovat poikkeamat. Tuloksena on saatu tervehenkisempi arkistointimaailma ja parempi tietojenkäsittely, Lars sanoo ja jatkaa:

– Koska kaikkea on valvottava perin pohjin, käytössä on nykyään prosesseja ja säännöksiä. Ilman poikkeuksia.

Asia vaikuttaa kaikkiin IT-toimintojen ja turvallisuuskysymysten parissa päivittäin työskenteleviin. 

– Perustavanlaatuista on se, että meidän on muutettava työskentelytapojamme GDPR:n mukaisiksi, Lars Lundström kertoo.