Medarbetarintervju med informatiosnsäkerhetsansvarig

Vad gör en informationssäkerhetsansvarig och hur ser en arbetsdag ut? Vi tog en pratstund med Victor Pettersson, informationssäkerhetsansvarig på Sokigo, för att få veta mer om vad hans roll innebär i praktiken, varför den behövs och vad certifieringen ISO 27001 som Sokigo nyligen tilldelats är för något.

Säkerställer ett grundläggande och systematiskt informationssäkerhetsarbete

Victor inleder med att berätta att han i sin roll har ansvar för att se till att Sokigo har ett systematiskt informationssäkerhetsarbete. Det innefattar dels praktiska tillämpningar av säkerhet, exempelvis antivirus och brandväggar, och dels informationssäkerhetsarbete som är mer efterlevnad, dvs hur vi följer våra lagar och kundkrav samt ser till att vi får ut information till alla medarbetare så att de kan arbeta på ett effektivt, men också säkert sätt.

– En grundregel inom säkerhet, det är att om du begränsar ett system för mycket, då kommer användarna inte använda systemet, utan hitta sätt runt det vilket gör att det blir mer osäkert till slut. Så det handlar om att arbeta med människor för att bygga system för människor på ett säkert sätt, förklarar han.

Hur kan våra kunder märka av din roll?

I grund och botten vill vi att kunderna ska känna sig trygga med de lösningar vi producerar. Vi har en bra grund att stå på i hur vi behandlar information, hur vi skapar våra produkter och bygger upp vår infrastruktur. Vi har en grundlig standardisering där. Men självklart kan det dyka upp många olika sorters frågor när det gäller IT-säkerhet i våra lösningar och då sitter jag ofta med på möten med kunden för att besvara deras frågor.

Värdet av att ha en informationssäkerhetsansvarig

Att det finns en dedikerad informationssäkerhetsansvarig är inte en självklarhet i alla bolag. Det kan finnas många olika skäl till det, såsom bolagets storlek. Victor vill dock understryka värdet med rollen som en långsiktig investering, inte bara för att möta regulatoriska krav utan även för värdet av att kunder känner sig trygga med Sokigo som leverantör.

ISO 27001

I maj 2024 blev Sokigo certifierade enligt ISO27001 2022, något som Victor är stolt över men också anser vara en hygienfaktor.

– Certifieringen är ett tydligt tecken på att vi tar vårt ansvar på allvar. Vi ser det dessutom som en extra trygghet för våra kunder att ett oberoende certifieringsorgan kan intyga att vi uppfyller de krav som certifieringen innebär, förklarar han.

Victor kan även berätta att den nya cybersäkerhetslag* som träder i kraft år 2025 har flera av de krav som ingår i certifieringen, vilket innebär att Sokigos ledningssystem redan nu uppfyller en stor del av de lagkrav som landets kommuner (därmed även Sokigo som leverantör) kommer att ha på sig från och med att cybersäkerhetslagen börjar att gälla.

– Det känns bra att vara proaktiv och vara redo att uppfylla de krav som kommer på bästa sätt.

Stort teknikintresse

Victor har alltid haft ett stort teknikintresse och efter att ha gått en teknikutbildning i gymnasiet fortsatte han i samma spår och utbildade sig till IT-säkerhetsspecialist på Stockholms Internationella Handelshögskola. Därefter har han haft roller som B2B Nätverkssupport, SIEM-specialist hos en av Europas ledande cybersäkerhetsleverantörer samt Technical Lead för Microsoft Sentinel innan han slutligen landade i sin nuvarande roll på Sokigo.

– Det bästa med Sokigo är mina kollegor, alltid ett fantastisk bemötande från var och en, det gör mig alltid så glad att se i mitt vardagliga arbete allas vilja och strävan efter ständig förbättring, avrundar han.

 


*Om Cybersäkerhetslagen (Cybersecurity Act)
2025 träder den nya lagen i kraft i Sverige som en del av EU NIS2-direktiv. Lagen syftar till att förstärka cybersäkerheten genom mer omfattande krav på organisationer inom en rad sektorer, från energi och finansiella tjänster till hälsovård och digital infrastruktur. Jämfört med det tidigare NIS-direktivet omfattar den nya lagen ett bredare spektrum av sektorer och ställer striktare krav på riskhantering, incidentrapportering och åtgärder mot cybersäkerhetsrisker.