Her rulles den røde løperen ut for revisor

For Telenor Linx er ISO 27001 en forutsetning for å betjene kundene sine. «Sertifiseringen gjør oss i stand til å jobbe mer effektivt», sier sikkerhetssjefen. 

Peter Heggløv har gått gradene i Telenor fra systemutvikler og programmerer til dagens stilling som Business Security Officer (BSO) i Telenor Linx. 

– BSO-rollen er noe alle forretningsenheter i Telenor skal ha. Vi skal ivareta de interne dimensjonene, og sørge for at sikkerhet er godt integrert i alle tjenester og produkter vi tilbyr. 

Telenor Linx har to hovedoppgaver: De leverer internasjonal interconnect og roaming-tjenester for mobiloperatører. Det betyr at selskapet tar ansvar for telekommunikasjonen mellom nettene når kundene vil kommunisere internasjonalt, og når de er på reise, og sørger for at det er avtaler på plass mellom de inntil 800 globale mobiloperatørene som selskapet har avtale med. 

– Vi er bindeleddet mellom operatørene og leverer dekning i omtrent alle land, med unntak av Nord-Korea, sier Heggløv.

Millioner av transaksjoner hver dag 

Den andre raskt voksende oppgaven er å være en salgsplattform opp mot skytjenester. Eksempelvis har de en avtale med Google der Telenor leverer betalingsløsninger for innhold fra skytjenester. I denne modellen er mobiloperatørene kunder, mens partnere er plattformselskaper som Google, Meta, Tik Tok og andre typer innholdsleverandører. 

– Her jobber vi blant annet med sikkerhets- og ID-løsninger for skyplattformene med ferdige moduler som kan tilbys applikasjonsutviklere. Hensikten er å sikre sluttkundene mot ID-tyveri uten at det reduserer hensynet til personvern, sier han. 

Fordi millioner av transaksjoner i form av meldinger og samtaler går gjennom systemene hver dag er sikkerhet en rød tråd i alt Telenor Linx foretar seg. Det å være sertifisert på sikkerhetsstandarden ISO 27001 er en selvfølge. Det første diplomet fikk de i 2021, siste resertifisering var i 2023, med en oppdatering til siste standard i 2024.

– Sertifiseringen er et krav fra kundene våre, og det er noe vi er nødt til å ha for å utvikle egen forretning. ISO 27001 bekrefter at vi har formell kompetanse og viser at vi følger beste sikkerhetspraksis, og møter industrielle standarder, sier Heggløv.

Han legger til:

– At vi har denne sertifiseringen ser vi i stadig større grad som et absolutt krav fra kundesiden. Det har særlig økt de siste to årene.

Gleder seg til revisjonene

Heggløv har ledet arbeidet med å integrere standarden i selskapet, der styringssystemene og retningslinjer oppdateres løpende i takt med behovene. 

– Det har vært spennende å gjøre seg kjent med ISO 27001. I Telenor er vi vant med revisjoner og det er noe vi ser frem til. Det er mekanismer som er der for å gjøre oss enda bedre, sier han. 

Derfor er revisorer alltid velkomne. Enten de er fra konsernets egen enhet, eller eksterne partnere som DNV. 

– Revisjonsprosessene er ekstremt nyttige som et blikk fra utsiden på våre prosesser og andre ting som kan bli bedre. Du får satt søkelys på alt du bør gjøre bedre, og du får anledning til å løse rotårsakene til svakheter og sårbarheter. Ikke minst får du svar på om organisasjonen jobber i henhold til beste praksis, og at alt fungerer slik det skal, sier han entusiastisk.

 Sikkerhetsarbeidet drives fra toppen

Det viktigste arbeidet med ISO 27001 gjøres mellom revisjonene – hver dag, hele året.

– Vi ønsker å jobbe med kontinuerlig forbedringer i sikkerhetsarbeidet, og balanserer kontroll og etterlevelse så godt som mulig opp mot operasjonelle behov i forretningen. 

Under og etter revisjonene får selskapet en liste med oppgaver som bør prioriteres. Disse sammenfaller gjerne med de interne prosesser og kravene som ellers er nedfelt i Telenor-konsernet. 

I tillegg er Heggløv i gang med å sikre at Telenor Linx møter de nye NIS2-kravene fra EU. 

– ISO-sertifiseringen hjelper oss møte inntil 90 prosent av kravene i NIS2. 

I tillegg er det av stor verdi at sikkerhet er høyt på ledelsens agenda.

– Det er behagelig å ha dette ansvaret når ledelsen står så helhjertet bak deg. Det er aldri noe problem å få med ledergruppen på sikkerhetstrening. De forstår viktigheten av arbeidet som gjøres, sier Heggløv.

Sikrer seg selv før de kan sikre andre

Heggløv er begeistret for samarbeidet med DNV.

– Revisorene er konstruktive, og du får alltid gode innspill og kloke betraktninger. For meg er revisoren en viktig kilde for råd og veiledning for hvordan vi bør jobbe. I tillegg er det trygt med merkevaren DNV som vi vet vi kan stole på.

Denne tryggheten er særlig viktig når du selv leverer sikkerhetstjenester til andre.

– Vi må sikre oss selv før vi kan sikre andre. ISO 27001 er fundamentet i vårt sikkerhetsarbeid. Det gjør oss tryggere og vi blir i stand til å jobbe mer effektivt. Ikke minst hjelper det oss jobbe mer strukturert, og vi får dokumentert alt vi gjør. Det er av stor verdi, fremhever han. 

For å øke egen kompetanse og jobbe smartere med ISO, har Heggløv tatt flere kurs hos DNV. 

– Kursingen har vært veldig nyttig. Det har hjulpet meg å planlegge revisjonene og forankre ISO-arbeidet enda bedre i organisasjonen. Selv om det er jeg som i hovedsak jobber med dette, har jeg hele organisasjonen i ryggen på ISO 27001, avslutter han.