Allt viktigare att se till att regler efterlevs och att risker minimeras

Anders Brännfors har gjort och sett det mesta inom IT. Han har programmerat, projektlett, sålt, han har arbetat i små och stora IT-företag, i svenska och amerikanska företag. Från början är han systemvetare men med tiden har det blivit alltmer arbete med managementfrågor. De senaste åren har han varit knuten till snabbväxande konsultföretaget XLENT med 11 kontor i Sverige och ett i Norge.

Identity Access Management

 

Anders-Brannfors1Anders har främst arbetat med det som rör identitet och åtkomsthantering eller Identity Access Management. Det innebär ett översiktligt system för kontroll på vem som har access till olika delar av de kritiska systemen. Tidigare var filosofin att informationen skulle lämnas ut baserat på ”need to know”. De säkerhetsansvariga hade väldigt lätt för att säga nej till det mesta. Numera tänker vi tvärtom. Vi utgår från vad som absolut inte går att lämna ut till alla. Medarbetarna ska ha tillgång till så mycket som möjligt.

Det är viktigt att hantera alla persondata på ett korrekt sätt så att inget hamnar i händerna på obehöriga. Tidigare har Personuppgiftslagen (PUL) ställt kravnivån. Men nu kommer det nya EU-direktivet GDPR eller General Data Protection Regulation. Det ska gälla som lag i hela EU-området från mitten på 2018 och kommer att ställa stora krav på hanteringen av personinformation. Straffen för den som inte hanterar informationen på ett korrekt sätt blir också betydande. Det kommer att handla om böter och ersättningar på upp till 20 procent av omsättningen i hela världen för det företag som bryter mot dem, knappast ett straff som någon har råd med. Dessutom måste upptäckta läckor i systemen anmälas inom 72 timmar till alla berörda myndigheter.

”Det kommer att handla om böter och ersättningar på upp till 20 procent av omsättningen i hela världen för det företag som bryter mot dem

Alla företag som samlar personuppgifter kommer nu tvingas meddela vad uppgifterna ska användas till samtidigt som alla kan kräva att alla personliga uppgifter raderas med väldigt kort varsel.

Anders-Brannfors2– En annan allt viktigare uppgift har blivit riskbedömning och riskhantering inom stora verksamheter. En god genomgång av riskerna i företaget ska i sin tur leda till tydligare regler och den eftertraktade riskminimeringen. Väldigt mycket av de skandaler vi idag ser i näringslivet handlar ju om att hantera intressekonflikter som uppstått där det inte funnits några tydliga regelverk. Det handlar om att reglera vad som är tillåtet och vad som inte är det. Uppstår en gråzon innebär det förr eller senare problem och en förhöjd risknivå.

”Det handlar om att reglera vad som är tillåtet och vad som inte är det. Uppstår en gråzon innebär det förr eller senare problem och en förhöjd risknivå.”

Tidigare har uppfyllandet av regelverken inte inneburit så väldigt mycket arbete. Med de nya, mycket mer omfattande regelverken och inte minst risken för mycket höga böter har arbetet intensifierats. De konsulter som specialiserat sig på detta har också blivit hett eftertraktade.

– Vad gäller Konsultkompaniet så har vi haft kontakt i mer än tjugo år. Vi förstår varandra mycket väl, jag uppskattar deras öppenhet och att det är så enkelt att ha med dem att göra.