Som cio för försäkringsbolaget Mysafety försäkringar har Jesper Jacquet bättre insyn än de flesta i de hot och risker som följer i digitaliseringens kölvatten. Företaget erbjuder ”försäkringar för en digital värld”, exempelvis i form av id-skyddsförsäkring mot bedrägerier på internet, och efterfrågan växer snabbt.

– Det är hårt tryck och vi möter dagligen människor som har drabbats, berättar han.

Av en undersökning som Mysafety har genomfört nyligen framgår att 15 procent av alla små och medelstora företag och nästan 200 000 privatpersoner i Sverige drabbades av id-stöld bara förra året, berättar han.

– Det är väldigt vanligt men få vet hur de ska skydda sig, särskilt som bedragarnas tillvägagångssätt förfinas och ändras hela tiden.

– Det har gått väldigt fort, och för många är det nog en utmaning att hänga med.

Läs också: Så får du med dig styrelsen – här är de 9 bästa knepen

Som cio tycker Jesper Jacquet att det mesta med digitaliseringen är positivt. Men det går inte att bortse från att den skapar it-miljöer som är mer komplexa och sårbara. När det gäller hans eget arbete måste han förhålla sig till att Mysafety-koncernen växer på flera marknader; idag finns bolaget i åtta länder. Det gäller att hålla sig snabb, agil och mobil – utan att tappa fokus på säkerheten. Att vara tillåtande och stötta användarnas behov, utan att förlora kontrollen.

– Att ha stenkoll på företagets information samt vilka lagar som gäller i de olika länderna är helt avgörande, säger Jesper Jacquet.

– Skugg-it och molnet – ibland är det svårt att veta var gränsen går – är utmaningar vi måste förhålla oss till, liksom de nya regelverken kring integritetsskydd, som GDPR.

Läs också:

Jesper Jacquet beskriver informationssäkerhetsarbetet som en cirkel indelad i tre delar – medvetenhet, styrning och infrastruktur. De senaste åren har Mysafety investerat tungt i alla de tre delarna, berättar han.

– Den första och kanske viktigaste delen handlar om att öka medvetenheten bland medarbetarna. Och den andra går ut på att ha ett strukturerat arbetssätt och tydliga roller.

På Mysafety försäkringar har man valt att följa riktlinjerna i ISO 27001, men det finns även andra modeller, påpekar Jesper Jacquet.

– Vad gäller den tredje delen, infrastrukturen, är det viktigt att inte glömma traditionella skydd, som redundans, brandväggar, tjänster för övervakning av nätverk och klienter samt rutiner för patchning och säkerhetsuppdateringar. De nya hoten innebär inte att de gamla hoten kan ignoreras – och även de nya hoten kräver ett bra grundskydd!

För att öka medvetenheten internt har man bland annat skapat ett ambassadörsforum med en representant från varje avdelning. De elva ambassadörerna träffas regelbundet för att diskutera informationssäkerhet och com-pliance-frågor. Varje medlem ansvarar sedan i sin tur för att informationen delas vidare.

– Hos oss är det inte svårt att få folk att förstå att det behövs, eftersom vi arbetar med de här frågorna gentemot våra kunder. Men i andra organisationer tror jag att du kan behöva vassa armbågar och trycka dig in på möten.

På Mysafety försäkringar finns en ciso, informationssäkerhetsansvarig, på heltid. Men det är cio som bär det yttersta ansvaret för informationssäkerheten.

– Det är jag som ska se till att det finns ett försvar, men också en återställningsförmåga om någonting sker, berättar Jesper Jacquet.

Det sistnämnda är en utmaning för många organisationer, menar han.

– De är bra på att ta backuper, men klarar inte av att göra en snabb återställning om system och databaser blir nedstängda.

Läs också:

För att du ska kunna vara innovativ och skapa nya tjänster för dina kunder – och samtidigt hålla en hög säkerhetsnivå – är det viktigt att säkerheten är med i projekten från början. Det är den numera alltid på Mysafety.

– Tidigare var det mer som en sista kontroll. Projektledaren skulle ”gå igenom security”, och så plötsligt fick de stopp och kunde inte slutföra projektet. Idag finns vår ciso med redan på idéstadiet. Då kan han direkt tala om vilka idéer som fungerar och inte ur ett informationssäkerhetsperspektiv. Det spar både tid och pengar, berättar Jesper Jacquet.

Läs också: Så lockar Pensionsmyndigheten it-kompetens: ”gäller att synas och höras”

Omvärldsbevakning är avgörande för att hålla sig uppdaterad om risker. Mysafety får mycket input från de egna kunderna.Företaget deltar också ofta i seminarier, både som åhörare och talare. Exempelvis var de i Almedalen och deltog i föredrag om id-skydd och näthat, berättar Jesper Jacquet.

– Och när vi går på event försöker vi skicka olika personer, så att inte en blir sittande på all information. Han eller hon får sedan redovisa vad som sades i ambassadörsforumet.

Om vi tittar framåt tycker Jesper Jacquet att den hotbild som hänger ihop med att alla saker blir uppkopplade i ett internet of things kommer att bli en stor utmaning.

– Som CIO är du van vid att ha koll på it-miljön och användarnas mobiltelefoner. Men när plötsligt brödrosten, mikrovågs­ugnen och flera andra saker på kontoret är uppkopplade blir det svårt att hänga med. Speciellt om dessa saker inte köps in av it. När konsumenterna inte ens själva vet vad de har uppkopplat kan det uppstå problem.



Jesper Jacquets 5 säkerhetstips

1. Involvera ledning och styrelse. Informationssäkerhet är en strategisk fråga.

2. Bygg medvetenhet – kommunicera, informera och involvera organisationen. Omvärldsbevaka, berätta om uppmärksammade fall och dela med dig. Skapa ett ambassadörsforum!

3. Välj en etablerad metod för styrning (till exempel ISO 27001), det ger bra struktur.

4. Glöm inte: god säkerhet i infrastrukturen är en hygienfråga.

5. Lev som du lär – it-avdelningen måste vara en god förebild. Dessutom är det enklare att förändra din egen avdelning än andras – dra nytta av det.