Nu låter elektronikföretaget Elfa i Stockholm ett helt nytt datorsystem med betryggande säkerhet ersätta det gamla.
Upprinnelsen blev en sårbarhetsanalys med hjälp av SBA Kompakt berättar Elfas ADB-chef Ulf Jensen. Kartläggningen ger också god vägledning till hur datasäkerheten kunde förbättras i företaget.
SBA är ett analysverktyg som ursprungligen utarbetats för storföretag och statlig förvaltning. För små men datorberoende företag har en mindre version utarbetats – SBA Kompakt. Analysen tar bara en dag i anspråk och sker med hjälp av handledning och förtryckta blanketter.
Elfas nuvarande system står stilla flera gånger i veckan även om det rör sig om korta stunder. Ulf Jensen var med på en tvådagars utvärdering av SBA och så här berättar han om vad som hände:
”Vi kompletterade SBA-Kompakt med ett frågeformulär från stora SBA.”
Det heter Start och låter ansvariga på olika avdelningar redovisa konsekvenserna av tre fall:
Försening, avbrott och förlust av information.
Obehörig användning.
Bristande kvalitet i informationen.
Konsekvenserna graderas från försumbar till katastrofal när det gäller ökade kostnader, minskade intäkter, försämrad arbetsmiljö, marknadsstörningar, brott mot lagar och avtal samt minskad goodwill.
”Det gör att man får en översiktlig beskrivning av företagets sårbarhet och en klar bild av exakt var man måste sätta in åtgärderna”, säger Ulf Jensen.
Ledningen med
Ulf Jensen betonar något som också står i SBA-papperen: Företagets ledning måste dras in i sårbarhetsanalysen.
”Det är oerhört viktigt att ledningsgruppen är med från början. Vi körde Start med 20 personer och fortsatte sedan med ett möte med ledningen. Vi fick en klar bild av hur sårbara vi är.”
”Det är kanske inte nödvändigt att dra in en massa människor. I ett litet företag, har ledningen en mycket god kännedom om vad arbetet innebär på de olika avdelningarna. Och vad dataproblem skulle medföra. Det behövs inga arbetsgrupper.”
SBA-metoden innehåller flera steg. Efter den första genomgången av de svaga punkterna skapar man ett antal typfall, där man mer i detalj kan redovisa följderna. Vad händer om någon stjäl data, vad händer vid strömavbrott, hur länge kan vi vara utan datorn?
Bygger nytt system
”Det räcker inte med en enda SBA-genomgång. Uppföljningen är lika viktig”, anser Ulf Jensen.
”Man måste föra ordentliga protokoll så att alla diskussioner finns dokumenterade. Informationen om problem och lösningar måste finnas samlad på ett ställe och vara så tydlig, att det inte spelar någon roll om den ADB-ansvarige får en ersättare.”
”Planen för åtgärderna måste dras upp både på kort och lång sikt. Checklistan för uppföljningar är lika viktiga som de första insatserna. Och varje gång företaget förändras är det dags för en ny granskning.”
Snabb leverans
”Vi datoriserar inte för att rationalisera bort något”, understryker Ulf Jensen.
”Vi gör det för att öka effektiviteten. Idag kan vi leverera samma dag om vi får en order före lunch. Målet är att kunna ta emot beställningar fram till klockan 16 och ändå klara leveransen.”
Så småningom dyker nya problem upp i sårbarheten:
”Redan när man klarat av en SBA-genomgång och börjar genomföra åtgärderna upptäcker man nya blottor. Det är därför ett dubbelt nyttigt system. Och sedan tillkommer nya frågor.”
”Vi räknar med att kunna ta emot order från kundernas terminaler direkt in i vårt system. Hur skall vi då gardera oss för hackers och crackers? Ledningen har just givit mig i uppdrag att reda ut det.” (Om en hacker tar sig in i systemet bara som en sport gör crackern det i avsikt att ställa till skada.)
Återigen kan Ulf Jensen dra nytta av SBA Kompakt, en metod han vill rekommendera. Med tillägget att också använda ”Start”, som han kämpade förgäves för i SBA-gruppen.
Elfas ADB-chef Ulf Jensen.