Chefsintervju: Riskmedvetenhet ska vara en ryggmärgsreflex

Mats Nordqvist är CIO och nätsäkerhetschef på Teracom, ett statligt bolag som ansvarar för säkra kommunikationer och utsändning av radio och tv. Han beskriver det som att han har säkerhet i generna.

– Sverige är högt rankat när det gäller digitalisering, men lågt när det gäller cybersäkerhet. Det visar rankningar av bland annat den internationella utvecklingsorganisationen OECD. Det är viktigt att vi håller en balans mellan hur smidigt det är med digitalisering och att behålla säkerheten, säger Mats Nordqvist.

Teracom har jobbat länge med säkerhetsskyddsklassad information, enligt krav från Försvarsmakten och Säpo. Men för de delar av verksamheten som inte omfattas av kraven var det tidigare oklart vad som gällde. Därför bestämde sig Teracom för att göra en ISO-certifiering.

– Vi behövde veta hur vi skulle skydda våra uppgifter och tillgångar. ISO 27001 är det största ramverket för informationssäkerhet, och med hjälp av det tittade vi på kompetensen och medvetenheten i organisationen, på arbetssätt och processer men också tekniska åtgärder, säger Mats Nordqvist, som hade tekniskt ansvar under certifieringen.

Totalt tog processen ett och ett halvt år och 10 000 timmar.

– Vill man att det ska bli verkningsfullt i ett större tekniskt bolag, tror jag man behöver lägga den tiden. Riskmedvetenhet är inget som skrivs på ett papper och sedan är klart, utan det är nya arbetssätt och tankemönster som ska in som en ryggmärgsreflex hos medarbetarna.

Alla anställda har fått fundera över vilka delar av verksamheten som är skyddsvärda och vilka risker som finns.

Mats Nordqvist tycker att arbetet med certifieringen fått stark uppslutning internt.

– Det fanns ett initialt ifrågasättande, orkar vi med det här? Men jag tycker det har varit ett starkt engagemang och en stor förståelse för varför detta är viktigt.

Mats Nordqvists råd till chefer om risk

• Känn till din verksamhets viktigaste tjänster och information.
• Riskbedöm – var finns informationen lagrad, och vilken risk innebär det?
• Vidta åtgärder för att minska riskerna. Vissa saker ska kanske inte förvaras i molnet.
• Läs på. Bra råd och guider hittar du här:
  informationssäkerhet.se
  kyberturvallisuuskeskus.fi/sv
  cisecurity.org 
  ncsc.gov.uk

Mats Nordqvist

Ålder: 56.
Bor: Bromma, Stockholm.
Familj: Fru och tre barn.
Gör: CIO och nätsäkerhetschef på Teracom.
Karriär i korthet: Civilingenjör inriktning elektroteknik vid KTH. Utvecklare och därefter olika chefsroller vid FRA i närmare 30 år. Grundare och vd på cybersäkerhetsbolaget Udinova. På Teracom sedan 2019, i nuvarande roll sedan 2021.
Medlem i Ledarna: Sedan hösten 2021.

Artikeln är publicerad i Ledarnas medlemsinlaga i tidningen Chef nr 6-7, juni-juli 2022.

Vill du också ha tidningen Chef direkt hem i brevlådan? Läs mer och bli medlem!