Crosskey
Kostnadseffektiv riskanalys på distans
Åländska Crosskey utvecklar och levererar system för kort och transaktioner till banker både i Sverige och Finland. En stor del av Finlands samlade transaktioner går genom något av Crosskeys system, som är ett helägt dotterbolag till Ålandsbanken. De regulatoriska kraven på bankverksamheter ökar hela tiden från myndigheterna på båda sidor om Östersjön, men organisationen behöver också uppfylla olika standarder som ISO27000 (informationssäkerhet) och PCI-DSS (säkra kortbetalningar). Att säkra den verksamhetskritiska infrastrukturen är en viktig del arbetet med att uppfylla både krav och standarder.
Risk och åtgärdsanalys nödvändig
För att säkerställa att kraven inom standarderna uppfylls och för att få koll på vad till exempel svenska myndigheter som MSB kräver, anlitade Crosskey Coromatic för att identifiera risker och ta fram åtgärder för att sänka risken och uppfylla relevanta standarder och myndighetskrav.
– Vi ville ha en leverantörsoberoende aktör som kunde göra en objektiv analys och därför ge trovärdiga rekommendationer, säger Patrik Juslin, ansvarig för den fysiska säkerheten på Crosskey och tillika ansvarig för projektet.
Utmaningen var att världen stod mitt i en pandemi, och att det i princip var reseförbud mellan Sverige och Finland. Situationen satte uppfinningsrikedomen på prov och Coromatic och Crosskey kom gemensamt fram till att utmaningarna inte skulle stå i vägen för projektet. Med hjälp av kameror och detaljerade skisser över datacentret kunde hela riskinventeringen göras på distans.
Kostnadseffektiv process
Med en mobilkamera till hands kunde Coromatics experter i Sverige få guidning av Patrik runt i datacentret för att inspektera kritiska punkter såsom kylanläggning, vattenintag, dieselaggregat, kopplingsrum och så vidare.
Patrik tog samtidigt högupplösta bilder som teamet kunde analysera mer i detalj. Via en detaljerad karta med koordinater kunde den gemensamma inventeringen göras, utan att några detaljer förbisågs.
– Jag är nästan lite förvånad över hur smidigt det gick att göra så här. Dessutom minskade det ju kostnaden rejält i och med att vi slapp resekostnader och den extra tid det hade inneburit för konsulterna, kommenterar Patrik.
Åtgärdsplan för kravuppfyllelse
Utifrån den inhämtade informationen kunde Coromatic sedan återkoppla med ett åtgärdsprogram utifrån vilka risker som identifierats men kunde också ge råd avseende vad som behövde göras för att uppfylla till exempel de svenska myndigheternas eller ISO-standardens krav.
– Återkopplingen var otroligt värdefull för oss eftersom Coromatic både kunde rådge kring eventuella brister och koppla dessa till de regulatoriska- och standardiseringskraven, kommenterar Patrik Juslin.
Förberedelsearbetet är förstås lite mer omfattande om en risk- och åtgärdsanalys ska göras på det här sättet, utan konsulter på plats. Patrik ger följande råd till den som tycker att det kan vara en metod att överväga:
- Lägg ned tid på förberedelsearbetet, det är A och O.
- Ta bilder i förväg på riskmiljöerna och skicka över så konsultteamet kan förbereda sig.
- Ha en noggrann, skalenlig och detaljerad karta till en hjälp med en förutbestämd rutt så blir det enkelt att följa med.