Inifrån: Hur Trimble närmar sig sekretess och säkerhet
Trimbles Ville Rousu är Senior Director och leder vår Strategic Portfolio Engineering-grupp. Han delar med sig av sina tankar om Trimbles digitala utveckling, inklusive företagets arbete med GDPR och ISO 27001.
Jag har arbetat med Trimbles Tekla-programvaruprodukter i 26 år. Under den här tiden har jag själv sett hur företagets inställning till integritet och säkerhet har utvecklats i takt med att tiderna förändras. Att ha tillförlitliga policyer och processer gentemot kunder och i vår egen verksamhet är nu viktigare än någonsin.
Distansarbete tog verkligen fart tillsammans med Covid restriktioner, vilket i sin tur förändrade hur företag måste hantera åtkomst till sina datatillgångar. Digitaliseringen exploderar nu, med olika verktyg och dataflöden som ökar komplexiteten i att hantera säkerhetsprocesser. Traditionella manuella att-göra-listor räcker helt enkelt inte längre.
Vårt huvudfokus brukade vara att etablera fullvärdiga processer – särskilt för att effektivisera vårt utvecklingsarbete – men under de senaste fem åren har vi börjat se en stor inverkan från integritetslagstiftningen som kommer ut ur Europa. EU:s allmänna dataskyddsförordning (GDPR) har verkligen tvingat företag att börja titta på information på ett annat sätt. Jag var en del av den styrkommitté vi tillsatte för att fastställa hur vi skulle följa dessa nya sekretessregler.
En solid bas för integritet
Trimble har alltid haft bra policyer för hur vi hanterar information – särskilt personligt identifierbar information – men GDPR har verkligen ökat vikten av detta.
Vi tog in externa konsulter för att hjälpa till med GDPR-efterlevnadsprocessen, eftersom det ofta rekommenderas, och vi arbetade med dem för att identifiera tillgångar och definiera företagspolicyer. Detta inkluderade att specificera vilken typ av information vi ska lagra, var den finns, vem som kan komma åt den och vad våra kundinriktade policyer är för att hantera den.
GDPR-efterlevnad handlar i grunden om att tilldela ansvar i din organisation; d.v.s. definiera vilka dataförvaltarna är och de processer de följer, och sedan leverera rätt budskap till hela företaget. Dessa regler är helt meningsfulla och är god "digital hygien".
Efter mitt tidiga arbete med att titta på Trimbles interna processautomation, var hanteringen av GDPR-efterlevnad en bra andra fas på min integritets- och säkerhetsresa. Arbetet ökade min allmänna förståelse för vad digital mognad innebär i dagens värld, och det gjorde mig redo för den tredje vågen av mitt växande cybersäkerhetsansvar.
Det kan vara svårt att tro, men varje organisation är ett cyberattackmål. Vi utsätts för lätta eller tunga attacker hela tiden. Dataintrång eller cybersäkerhetsattacker drabbar inte nödvändigtvis dina kärnprocesser direkt. De kan slå dig på kanterna, där du fortfarande kan förlora information på ett sätt som är mycket skadligt för ditt företag.
Det är ett oändligt lopp med digitaliseringens mörka sida, så under lång tid har Trimble också utvecklat strängare och strängare policyer för hur vi arbetar.
Vi gör detta främst genom vårt ramverk för Trimble Secure Development Lifecycle. Jag har också varit en del av teamet som ansvarar för att följa hur dessa kontroller antas och hur de är en del av ISO-certifieringsprocessen för vår produktportfölj. Här har jag hjälpt till att etablera de affärskontinuitetsplaneringskommittéer som krävs för varje affärsdivision för att uppnå ISO-certifiering.
Vår grund för detta arbete kommer från allmänt antagen branschpraxis. Denna stora grupp av kontroller kan delas in i 10 huvudkategorier, inklusive allt från att kontrollera tillgångar till att utföra olika analyser. De flesta av dessa analyser kan göras av tredjepartsprogramvara som är utformad för dessa ändamål. Vi gör också externa revisioner av våra utvecklingsprocesser, policyer och incidenter och har ett brett spektrum av riktlinjer för olika roller.
Integritet och säkerhet i centrum
På Trimble är en stor del av våra säkerhetskontroller anpassade till ISO 27001-certifieringskraven – den internationella standarden för hantering av informationssäkerhet. För att få certifiering krävs insamling av bevis för att de nödvändiga cybersäkerhetsprocesserna och kontrollerna finns på plats. Vårt säkerhetsramverk definierar dessa kontroller och ISO-certifiering bekräftar att vi följer branschens bästa praxis.
Ett av ISO 27001-kraven är att du hanterar säkerhet genom ett team på toppnivå som täcker alla funktioner i en organisation. I medelstora företag skulle detta team vanligtvis inkludera VD och eventuella direktrapporter. I ett större företag, som Trimble, täcker vi detta ansvar genom kommittéer på olika nivåer.
Dessa kommittéer har, bland andra ansvar, planer för återhämtning från katastrofer som inkluderar kärnelementen om vad man ska göra när en cybersäkerhetsattack inträffar. En sådan återhämtningsplan handlar inte bara om cybersäkerhet. Det kan också täcka andra typer av katastrofer, till exempel om kontoret brinner ner och du inte kan komma åt vissa kritiska tjänster. Du bör alltid ha en plan för hur ditt företag överlever sådana situationer, eftersom överlevnad inte kan tas för givet.
Sammantaget tror jag att effektivisering av processer, säkerställande av efterlevnad och upprätthållande av en god cybersäkerhetshållning tillsammans leder till en välfungerande, mogen och pålitlig organisation. Det är också därför du måste göra integritet och säkerhet centralt för din företagskultur och ditt varumärke. Både dina anställda och dina kunder behöver se att du tar dessa frågor på allvar.
Vi arbetar mycket hårt med alla dessa saker så att alla förstår att Trimble är ett företag som man kan lita på.
Besök Tekla Trust Center för att läsa mer om sekretess och våra White Papers.