SKF:s satsningar på en säkrare organisation – går mer mot zero trust
Foto: Fredrik Kron/Voister
Log4j-incidenten blev extra bränsle i SKF:s säkerhetsresa och sedan dess har man satsat mycket på att bygga upp säkerhetsfunktionen. Viktiga delar har varit att definiera leverantörers ansvar, öka säkerhetsmedvetenheten i organisationen, och att säkerhetsgranska alla nya projekt. Som bäst fungerar säkerheten när organisationen märker av den som minst. Det menar Martin Öhleen, Lead Architect Global Infrastructure & Security, SKF.
Berätta, vilket grepp har SKF tagit kring säkerhetsarbetet?
– Ganska mycket på olika sätt de senaste åren. Mycket tog fart med Log4j-incidenten för några år sedan, då fick man upp ögonen från ledningens håll mer. Det har alltid varit viktigt men fick ännu mer uppmärksamhet. Sedan dess har vi byggt upp säkerhetsfunktionen och haft ett säkerhetsprogram som vi kört under flera år, där vi byggt upp och bytt ut verktyg, satt upp funktioner och sprättat upp dem. Vi har gjort mycket inom det området, och det börjar bära frukt nu, säger Martin Öhleen, Lead Architect Global Infrastructure & Security, SKF.
Det låter som en lång resa, beskriv var ni är idag?
– Idag har vi besecurity team på plats, och jobbar mycket med compliance och hur vi ökar säkerhetsmedevetenheten i organisationen. En viktig bit. Vi har ett security office som jobbar mycket med de produkterna, tjänsterna och säkerhetsgranskningar. I alla nya projekt som kommer så behöver vi få in att vi ska göra ordentliga säkerhetsgranskningar. Det har inte alltid gjorts historiskt, men det är vi bättre på nu. Plus att inom molninfrastruktur har vi gjort ett större arbete att anpassa oss mot ISO 27 001 och uppdatera våra egna ISMS, vårt eget ramverk för hur vi gör säkerhet och vilken standard som gäller.
Vilka utmaningar har du sett i den här resan?
– Det är som alltid, det är lätt att det blir från två håll, att man börjar och vill springa på det praktiska utan att egentligen ha satt kraven; hur ser operating model ut, hur ser avtalen ut med våra leverantörer – så att man sen kan implementera det. Börjar man springa innan man har det klart så blir det en otydlighet mellan leverantörer och ansvariga på de tjänster man har, och även på vad det man egentligen ska göra. Man tar en liten delmängd och så börjar man springa på den i stället för att se helheten. Så det är väl en liten risk nu.
Om vi vänder på det, var upplever du att det har lossnat?
– Vi har gjort mycket extern scanning och kollat på våra externa entry points, sårbarheter och så vidare. Det arbetet har varit väldigt framgångsrikt de senaste åren. Vi kan verkligen se hur alla insatser vi har gjort har hållit upp oss på den skalan och med de verktygen vi använder. Så där har det varit väldigt framgångsrikt.
Du nämnde security awareness innan och ofta är medarbetaren en stor del av att lyckas med sitt säkerhetsarbete, samtidigt pratar vi också ofta om användarvänlighet vs säkerhet, vad är din upplevelse där?
– Jag tycker inte att det behöver vara en motsägelse i det, men det kräver en del jobb att anpassa verktygen, ha resurser på plats att göra kommunikationen som krävs, och utbildningen som behövs. Mycket av det vi gör är it-plumbing, det vill säga ingen bryr sig egentligen om det fram tills att det inte funkar. Man förväntar sig bara att det ska funka. Så ser jag på säkerhets- och hela infrastrukturområdet. Ju mindre vi märks och ju mindre folk reagerar, desto bättre är det.
Du har varit inne på det; hoten blir fler, riskerna större, vad ser du som viktigast framåt?
– Mer security awareness – människan. Olika typer av phishingattacker, att stjäla credentials, det är en jättestor risk och något vi måste jobba med medvetenhet kring. Där kommer zero trust in, att rulla ut det än mer så att blast radius, om något ändå inträffar, blir så litet som möjligt.
Läs mer om ämnet: