Vinner verkligen uthållig IT- och informationssäkerhet i det långa loppet?

Vinner verkligen uthållig IT- och informationssäkerhet i det långa loppet?

- Helt klart! Åtminstone om du frågar en specialist inom området som även har som mål att checka hur långt den egna kroppen orkar i de mest skiftande miljöer.

Möt Mikael Petterson, han som precis kommit in genom dörren, som hälsar ödmjukt och frågar lite lågmält "- Blir det bra om jag sätter mig här?". "- Absolut", får han till svar, och sedan följer en ca timmes lång intervju, som resulterar i denna faktaintensiva artikel som – jag lovar - inte tar alls lika lång tid att läsa. 😉

Från djupgående analyser till fysiska sprängningar

Intervjun innefattar allt från djupa och analytiska diskussioner. Om hur han dagligen hjälper ledningsgrupper med strategisk rådgivning inom IT- och informationssäkerhet. Till hur han triggar sig till att tömma sin kropp fullständigt genom att simma, cykla och springa.

Vi börjar med att testa dig lite; Kan du framför dig se en 50+:are som inte backar för något, som älskar Triathlon och som ibland häller Coca Cola både i strupen och över sig för att orka springa ca en timma till för att komma i mål med sin utmaning?

Va bra i så fall. För i denna artikel kommer du möta en sådan person. Vi säger ett gemensamt ”hej på dig” till Mikael Pettersson. En utpräglat sportig IT- och informationssäkerhetskonsult som hjälper företag med att nå nya höjder under arbetsdagen. Och som spränger sina fysiska gränser på fritiden!

Ledningsfrågor och verksamhetsutveckling

Artikelförfattaren har äntligen fått till det där mötet, tillfället att få intervjua en av INVIDs erkänt duktiga IT- och informationssäkerhetskonsulter.

Efter att ha gjort en grundlig research av Mikael så visar det sig att han är en social, sympatisk och sportintresserad person som har bakgrund i flera idrottsgrenar. Vi ber att få återkomma till detta lite längre fram i denna artikel.

Mr. Pettersson har stort intresse och förståelse för de processer som binder samman IT- och informationssäkerhet med ledningsfrågor och verksamhetsutveckling. Detta möjliggörs och underlättas av hans gedigna utbildningserfarenhet.

Bakgrund och erfarenheter

Mikael är nämligen civilekonom i grunden och ekonomie magister inom företagsekonomi. Kombinationen av ca 20 års erfarenhet av informationssäkerhetsrelaterade frågor från en mängd olika organisationsformer, har bidragit till djupa kunskaper inom det aktuella området.

Att hjälpa organisationer förbättra sin informationssäkerhet och motståndskraft mot cyberattacker har varit vardag för Mikael under flera år. Det kan handla om allt från att utforma verksamhetsprocesser till rådgivning i frågor relaterade till informationssäkerhet.

Under åren har han byggt upp en lång erfarenhet av ISO 27000-standarderna och är van vid att vägleda mot en bättre säkerhet eller mot en certifiering i informationssäkerhet.

I erfarenheten ingår både organisatoriska och IT-relaterade säkerhetsfrågor. I bagaget finns också erfarenheter från revision och granskning av organisationers interna styrning och kontroll.

OK, det som står skrivet ovan kanske känns som lite väl floskel-betonat, men så är det faktiskt inte. Det har denna artikels författare belägg för, helt klart!

Han brinner verkligen för att skapa säkra lösningar och system för sina uppdragsgivare, på ett mycket professionellt sätt.

Ledningsfråga

Mikael har stor nytta av sin erfarenhet för är identifiera din verksamhets unika risker och hotbilder, och vilka mål du vill uppnå med säkerhetsarbetet. Efter detta optimerar han säkerheten genom att skapa tydliga riktlinjer för hantering av information och digitala tillgångar.

Under intervjuns gång påpekar Mikael flera gånger att IT- och informationssäkerhet är en STRATEGISK LEDNINGSFRÅGA.

Det återspeglar sig i hans olika uppdrag där ledningsgrupper ofta vill bolla frågeställningar i stil med;

• ” - Vi investerar i IT-säkerhetsprodukter hela tiden men kommer ingenstans. Vi känner oss inte förberedda fullt ut mot attacker som kan skada oss/redan har skadat oss, med stora kostnader som följd”

• ” - I vilken ände ska vi börja?”

• ” - Hur bör vi resonera och agera, rent organisatoriskt?”

• ” - Hur bör vi tänka och lösa det om vi sedan tittar på tekniska lösningar?”

• ” - Du säger att ni kan allt lösa detta, men hur då?”

Strategisk och organisatorisk rådgivning

Tankarna, och frågorna, är många. Och, som vanligt, handlar det inte om en ”quick fix”.

Mikaels spetskunskaper handlar till stor del om strategisk och organisatorisk rådgivning ur säkerhetssynpunkt.

Vi talar om en god lyssnare, som inte behöver bevisa att han kan det han talar om. Det märker du som kund, och du får verkligen får komma till tals.

Besluta och prioritera

Resultatet blir att du som uppdragsgivare kan ta välgrundade beslut och kunna prioritera. Komma framåt på ett systematiskt sätt. Som börjar med de mjuka och organisatoriska delarna först. För att därefter följas av de hårda och tekniska lösningarna.

Det gäller att börja i rätt ände! Hitta och prioritera lösningar som skall löna sig på både kort och lång sikt för uppdragsgivaren.

Ja så är det, det är där vi hamnar till slut. Sina goda vitsord och renommé till trots vill han inte framhäva sig själv. Hans ödmjukhet och ”Helylle-kille-aura” leder till förtroende. Glöm allt som handlar om klassisk stelbenthet och att köra sitt race. Nej, här har vi en specialist som förstår kunden. Som anpassar verktyg för att lösa det som behövs för ett lyckat samarbete.

Stor oro

Flera av Mikael kunder har erfarenheter av, och känner allt större oro inför, ett ökat antal cyber-angrepp och intrång. Som vill lösa orsaken till att man utgör måltavla, att inte enbart släcka bränder och lösa ett redan uppkommit problem.

Visst måste man släcka den akuta branden först om den har uppstått. Men man måste också fråga sig hur det kunde börja brinna? Och varför? Samt att fråga sig hur man kan skydda sig framöver för att det inte skall börja brinna igen;

• ”- Varför drabbas just mitt företag?” ”- Vad är orsaken till att vi drabbas?”
• ”- Beror det på organisatoriska aspekter?”
• ”- Har vi tillräcklig teknisk säkerhet?”

Riktlinjer, instruktioner och kostnader

Forskningar visar att ca 80 % av alla intrång är relaterade till användarmisstag. Oftast utan illvilja på något sätt. Man vet kanske inte vad man får göra, och man har eventuellt inte rätt behörighet. Arbetsgivaren har kanske inte tydliga riktlinjer och instruktioner om vad som gäller. Med mera, med mera.

Det kostar enorma pengar att drabbas. Det är betydligt mindre kostsamt att förebygga långsiktigt. Många företag och organisationer mörkar att man har blivit drabbade. Man skäms kanske lite, och betalar. Det blir lätt en ond cirkel, och hackarna fortsätter och ökar lätt kostnadskraven efter hand. Man får betala igen, och igen. Det måste stoppas!

Mikael berättar att han vet företag som har betalt upp till 3 ggr/år till utpressare. Han beskriver vidare hur hackarna väljer ut sina offer. De är oerhört sluga, har ett affärsmässigt tänk. De sorterar in kunderna så att de vet vilka ekonomiska krav som kan vara lämpliga att ställa, exempelvis beroende på omsättningar och vinster.

Mikaels kompetens är otroligt värdefull om man vill säkra sin organisation för att slippa hamna i denna obekväma sits. Han och sina kollegor har redan hjälpt åtskilliga kunder med att säkra upp detta. Parallellt med detta har samma personer sett till att inga angrepp har lyckats mot INVIDs egna driftmiljö. Detta trots massvis av försök. Det där med ”Skomakararens barn” stämmer lyckligtvis inte alltid…

Övergripande uppdrag

Hur ser då ett typiskt ”övergripande Mikael Pettersson-uppdrag” ut?

Det är svårt att göra en enhetlig ”copy and paste” på detta. Men, OK, låt oss ge några exempel;

• Kunden vill ”prata informationssäkerhet” i allmänhet. Få rådgivning, eftersom okunskapen och osäkerheten är stor.
• Det efterfrågas ofta specifika genomgångar av en avgränsad miljö eller översyn av en process som exempelvis incident- och kontinuitetshantering.
• Man har kanske får fått krav via lagar eller från kund om att certifiera sig mot en viss standard.

Dylika lägen triggar Mikael! Det landar i att Mikael kavlar upp skjortärmarna för att kunna vägleda kunderna på en lönsam väg framåt.

Risk-check

För att göra rätt från början föreslår Mikael då att man genomför en inledande analys, en s.k. Risk-check.

OK? Det låter väl bra allt det här. Men kan Mikael presentera vilka delmoment som ingår i Risk-checken? Kanske rent av i punktform för att göra det extra tydligt?

Absolut, here it comes, här kommer ett typexempel på vad som ingår i en Risk-check:

• Går igenom hur kundens organisation och IT-miljö (nuläge).
• Klargör vilka krav kunden har att leva upp till (lagar, kundkrav, ägarkrav etc.).
• Frågebatteri utifrån ett etablerat ramverk eller standard (ISO 27001, NIST, CIS (Center för Internet Security).
• Identifiering av hot och sårbarheter för att prioritera de viktigaste åtgärderna.
• Klassificering av viktiga informationstillgångar för att bedöma skyddsbehov.
• Presentation av åtgärder som bör prioriteras.
• Sårbarhets- och AD scanning ges som ett tillval

Lönsamma åtgärder

Mr. Pettersson kan ge flera exempel på riktigt lönsamma åtgärder för sina uppdragsgivare. Insatser som har kunnat räknas hem redan på kort sikt.

Av sekretesskäl får vi inte namngiva några namn och kvantitativa siffror i detta sammanhang. Han ger bland annat ett förebyggande - och internationellt - exempel från ett småländskt företag. Ett förebyggande praktikfall från ett bolag som är leverantör till en amerikansk kund med omfattande säkerhetskrav.

Vår kund fick som krav att jobba efter NIST. Det är standards och ramverk för hur du som organisation mäter risker, strukturerar riskarbetet och hur du väljer säkerhetsåtgärder och genomför dem. NIST CFS står för Cyber Security Framework och handlar likt ISO27001 om informationssäkerhet i organisationer.

Räddade betydande del av sin omsättning

Vår kund jobbade igenom detta och kunde därefter uppvisa en stor kvalitetsökning med tillhörande certifiering. Om det var värt det? Ja, det skulle man kunna säga. Man rodde nämligen affären i hamn och räddade tack vare denna åtgärd en betydande del av sin omsättning och kunde konkurrera om fler uppdrag.

Vi lovar, det finns massor av mera jordnära sucess stories. Om lönsamma affärer på hemmaplan inom vårt avlånga land, efter att ha jobbat med Mikael och hans kollegor inom IT- och Informationssäkerhet. Men, det tar vi en annan gång!

Målsättningar i skiftande miljöer

Well, well, nu när vi känner oss säkra ut ett IT- och Informationssäkerhetsperspektiv byter vi ämne. Nu är vi nämligen intresserade av det där som vi berörde i inledningen av denna artikel. Det där om att han har som mål att checka hur långt den egna kroppen orkar i de mest skiftande miljöer. Vad handlar detta egentligen om?

Jo, Mikael älskar att agera både lugnt och riktigt fysiskt i naturen. Att exempelvis gå långa promenader i skogen. Under pandemin har han upptäckt nio nya vandringsleder. Favoriten av dessa finns i Ulricehamnstrakten med en karaktäristisk urskog.

Annorlunda infallsvinklar

I skogen glömmer han jobbet. Tömmer skallen, och känner att han blir mer påhittig när han väl återvänder till sin arbetsplats Han nämner bland annat hur han kommer på nya idéer för användning i jobbet när han befinner sig ute i den friska luften.

Hur han får helt annorlunda infallsvinklar. Trots att han då egentligen inte går och tänker på just jobbet. Visst är det märkligt hur vi fungerar norr om axlarna?

Idrottsbakgrund

Utöver naturintresset har han en idrottsbakgrund från sin uppväxt i Karlskrona. Där utövade han fotboll, hockey och – håll i er – boxning! Under intervjun berättar han många roliga minnen från dessa tider, inte minst om de kända tränaprofiler han stötte på under hockey-eran.

Eller vad sägs om den kanadensiske, och brutalt hårdföre backen, och tränaren, Des Moroney. För att inte tala om tränaren Timo Lahtinen. Han som brukade förespråka ”Äckligt disciplinerat" med en tydlig finsk brytning. Hm, frågan är om inte Timo hade sneglat lite på det där med ”risk-checkar” redan då, eller vad tror du?

Triathlon

Men, nu lämnar vi dåtid, och fokuserar på det som sker här och nu. För nu är det simning, cykling och löpning som gäller. Och, vad händer då om man kombinerar detta? Ja just det, TRIATHLON!

Triathlon är en uthållighetsidrott där momenten just simning, cykel och löpning utförs i en följd. En modern livsstilsidrott som kännetecknas av fart, styrka och uthållighet. Triathleter är ofta målmedvetna och prioriterar en aktiv fritid, en sund livsstil och välbefinnande. Jag tror bestämt att vi har en ”perfect match” där med vår vän Mikael.

Mr. Pettersson har skrivande stund genomfört fyra fulldistanslopp, en s.k. Ironman! Det innebär simning i 3 860 m, 180 km cykling och 42 km löpning – en rejäl utmaning för de flesta!

Mikael har slutfört samtliga dessa fyra som har arrangerats i Kalmar (två st.), Köpenhamn och österrikiska Klagenfurt. Han har dessutom tillryggalagt ett antal halvdistanslopp.

Vår vän tränar mycket för att få upp volymen. Det handlar ofta om följande ca-volymer per vecka;

• Simning:1,5 timmar
• Cykling: 5 timmar
• Löpning: 2-3 timmar

När det närmar sig tävlingsdags, vid en månad innan tävlingen genomförs, trappas träningen ner stegvis till bara några få timmar under sista veckan.

Extrema väderleksförhållanden

Mikael har en hel del strapatsrika minnen från sina Ironmans. Inte minst i det lopp som han genomförde i Klagenfurt 2019. Det är för övrigt en ort som han gillar mycket. Han tycker att den ligger oerhört vackert invid det klara och fina vattnet i sjön Wörthersee.

Under det aktuella loppet rådde det extremt dåliga väderförhållanden under hela arrangemanget. Det blev en utmaning som hette duga.

Det började med cyklingen som genomfördes under hög värme, över 30 grader i luften och 24 grader i vattnet, något som innebar att man inte ficka simma med våtdräkt.

Gråtande karlar

Man får inte simma med våtdräkt om vattentemperaturen är över 24 grader och det rådde därför våtdräktförbud under denna tävling. De flesta tränar med just våtdräkt för att det ger lite flythjälp och därför går snabbare att simma i jämfört med ordinarie Triathlon-dräkt. Här gällde det att ställa om sin mindset. Vuxna karlar grät innan loppet startades. Det var mycket då…

Sedan var det dags för cyklingen, som genomfördes under två varv. Med en riktigt varm inledning, som följdes av ett grymt åskoväder i hällande regn, och med kraftiga kastvindar uppe i bergen. Temperaturen skiftade från 30 grader till 11 grader på ett ögonblick. Vissa cyklister blåste av vägen. Andra gled av vägbanan p.g.a. att bromsarna inte tog i vattnet.

När Mikael hade genomför cyklingen med livet i behåll väntade sedan den återstående etappen, löpningen. I 30 graders värme, puh! Man han fixade även detta vågspel utmed sköna Wörthersee, strålande jobbat!

Ta sig läskedryck över huvudet

Han har sina knep den gode Pettersson för att stålsätta sig och härda ut för att nå sina målsättningar. Nämner bland annat ett av loppen i Kalmar. Då han tröttnade på att dricka vatten och sportdryck när han hade ca en timme kvar till mål. Han behövde något annat.

Vad gjorde han då? Jo, han både drack och hällde Coca Cola över huvudet och det gjorde underverk. En söt-chock som betalade sig. De påhittige atleten kunde därefter spränga målsnöret i den anrika slottstaden. Detta till ackompanjemang av ett nöjt, och klibbigt, leende!

Checklista inför tävlingslopp

Du har i denna artikel kunnat läsa om hur Mikael gärna använder sig av en s.k. ”Rick-check” i sitt arbete inom IT- och informationssäkerhet.

Då undrar du kanske om han även jobbar utifrån en checklista när han förbereder sig inför ett tävlingslopp, exempelvis inför ett Ironman-lopp?

Jo då, det har han, och den lyder enligt följande;

• Ändra inte kosten en vecka innan. Ät mat du är van vid och gärna lite oftare. Energin är din bästa vän under sista delen av loppet.
• Är du amatör var inte rädd för att vila två dagar innan en tävling.
• Trappa ner träningsmängden i god tid till bara några timmar under tävlingsveckan.
• Lyssna på dig själv (kroppen) redan från början när du börjar träningen inför ett lopp.
• Vila och återhämtning är lika viktigt som träning.
• Försök ha kul under tävlingen och alla träningspass.

Se där ja, då fick vi ännu mera målinriktade tips. Vad man bör tänka på. Även utanför Mikaels ordinarie vardag i sin roll som spetskunskapskonsult, av lite mera fysisk karaktär.

Från en målinriktad person som kan intyga att uthållig IT- och informationssäkerhet vinner i det långa loppet.

Vill du veta mer om hur denne ödmjuke och framgångsrike kollega kan utveckla din och dina kollegors verksamheter. Inte minst genom inom området IT- och Informationssäkerhet?

Vill du veta mer om vad vi gör och vad som är på gång?

Skriv upp dig här, så får du ta del av nyheter, tips och trix och inbjudningar.