– Hei, vi ringer fra Norsk Tipping på Hamar
Slik holder de sikkerheten intakt bak landets mest etterlengtede telefon.
Mange drømmer om en telefon fra Norsk Tipping på Hamar, og ukentlig ender noen få heldige nordmenn opp som millionærer. Likevel er det ikke disse individuelle heldiggrisene som stikker av med de virkelig store pengene. Siden oppstarten i 1948 har nemlig hele overskuddet fra Norsk Tipping, i alt mer nesten 136 milliarder kroner når prisjustert, blitt delt ut til gode formål i hele landet.
Med så store verdier i spill er det klart mye som må stemme. Både rutiner, dokumentasjon og personvern må være på plass. Trond Laupstad er sikkerhetssjef i Norsk Tipping, og han slår fast at det aller viktigste selskapet har ikke er penger – det er tillit.
Lever av tillit
– Tillit er det vi lever av, og det er en av grunnene til at vi er sertifisert etter blant annet informasjonssikkerhetsstandarden ISO 27001. Vi bruker standarder aktivt, og selv om du ikke er sertifisert er det utrolig nyttig å ha og bruke dem for å vise at du etterlever allmenne, generelle krav, forteller sikkerhetssjefen.
Norsk Tipping har faktisk 20-årsjubileum i disse dager for sin aller første sertifisering, som de fikk 5. september 1997. Den gang var det noe som kaltes Intertoto Security Standard som gjaldt, men siden har det skjedd store endringer.
– Da vi startet med dette trodde noen at det var veldig smart å lage en helt egen standard, som var basert på den britiske forløperen til ISO 27001. Så gikk det nok et lys opp for dem på 2000-tallet, da de skjønte at det ikke gir så mye mening å lage en egen standard på informasjonssikkerhet når det tross alt finnes noen hundre mennesker i verden som lager den helt fantastiske ISO 27001. Så nå holder vi fast på den, forteller Laupstad.
Det internasjonale samarbeidet med andre spillselskaper, i form av Vikinglotto-alliansen og Eurojackpot, er en av mange grunner til at standardene brukes aktivt i Norsk Tipping. Alle selskapene som deltar må kunne stole på hverandre, og stole på at de forholder seg til de samme reglene.
– Enkelt sagt må vi vite at vi kan stole på de andre landene i alliansen. Hvis alle er sertifisert etter alle relevante standarder, slik at de kan dokumentere at de etterlever kravene som ligger der, blir det mye lettere for oss som sitter litt i førersetet på en del av disse spillene. Alternativet ville vært å reise til Finland, Island og de andre landene for å følge opp selv.
– Standardene er fulle av gull
Som følge av løpende arbeid med standarder gruer heller ikke Laupstad seg til den nye personvernforordningen GDPR trer i kraft – tvert imot.
– Er du ISO 27001-sertifisert i dag er du veldig godt på vei. Personvern er jo en sentral del av standarden, men GDPR tar også til orde for en egen personvernstandard i tillegg, som jeg synes høres utrolig spennende ut. Akkurat det hilser jeg veldig velkommen, sier han.
Hos Norsk Tipping har de nemlig jobbet med personvern i mange år. Det første personvernombudet kom på plass for nesten ti år siden, så da utkastet til GDPR først dukket opp var det enkelt for Laupstad å finne ut hvilke kapitler som var relevante for virksomheten. Han er likevel klar på at det er arbeid med standarder som har satt dem i en god situasjon, snarere enn at Norsk Tipping har funnet opp kruttet alene.
– Det er en tendens i Norge til at vi tenker at vi selv er best egnet til å definere hva vi er gode på, og å lage våre egne systemer; kall det et kulturelt trekk. Hvis noen mener de er så mye bedre på å lage en god standard enn disse få hundre menneskene som jobber med ISO 27001 på å lage en god standard, så er jo det fantastisk! Men hjelpe meg, så mye tid de skal bruke på det, sier Laupstad spøkefullt.
– Da tenker jeg at den tiden ville vært bedre brukt på å implementere og etterleve kravene som er der. Det ligger nemlig så mye gull i de standardene som allerede er der, samtidig som det er en fantastisk måte å vise kundene at jo, dette jobber vi systematisk med. Jeg forlot i alle fall stadiet hvor jeg mente det var lurt å produsere egne systemer for lenge siden, slår han fast.
Standarder henger alltid med
Det handler om kontinuerlig forbedring
Trond Laupstad
Selv om standarder gir et godt rammeverk å jobbe innenfor, utvikler både samfunn og teknologi seg stadig videre. Dermed må standardene også oppdateres, samtidig som det titt og ofte dukker opp helt nye standarder. Hos Norsk Tipping følger de nøye med på nye ting som kommer, da nye standarder ofte henger sammen med at det introduseres nye krav.
– Akkurat nå har vi gjort en jobb for å se på den nye antikorrupsjons- og hvitvaskingstandarden ISO 37001, som kom i fjor høst. Dette er et felt hvor eierne våre stiller veldig høye krav. I tillegg kommer det oppdateringer på alle standardene etter hvert som teknologien utvikler seg, nye trusler oppstår, og så videre, forteller Laupstad.
Dette kan kanskje høres krevende ut hvis man ikke er vant til å jobbe med standarder. Jobben med å tilpasse seg en ny eller oppdatert standard har imidlertid lite til felles med å tilpasse seg helt ny lagrings- eller nettverksteknologi.
– Kravene i standardene tenker jeg på som beste praksis. ISO sier jo ikke at du skal konfigurere brannmuren din på en spesifikk måte, men den sier noe om nettverkssikkerhet, risikoen knyttet til det, og så må du implementere ut fra beste praksis, men tilpasset din situasjon. Det handler om kontinuerlig forbedring, sier sikkerhetssjefen.
Ettersyn er kjærkomment
Enkelte tenker kanskje at når de jobber med standarder må alt lyse grønt før de får besøk av revisor, men det blir litt feil, mener Laupstad.
– Jeg vil heller sammenlikne det med karakterer i skolen. Karakteren 2 er bestått, og 6 er helt perfekt. Slik er det i standarden også; det er litt opp til hver virksomhet hvilken «karakter» de skal ha på forskjellige felt. For de aller fleste holder det nok lenge å «bestå», men skal du ha toppkarakter er det selvfølgelig mer krevende, sier han.
Dermed blir det også bare hyggelig når eksterne revisorer vil se Norsk Tipping i kortene. De har kanskje med seg ballast fra andre steder, pirker borti noen områder hvor de ser at ting kan gjøres litt bedre, og ser at på andre felt gjøres det mer enn nødvendig.
– Det er ingen selskaper i verden som etterlever alt hundre prosent, hele tiden. Derfor tenker vi heller «heldigvis» hvis revisor finner noe vi kan bli bedre på. Så du kan si vi er glade i standarder her på Hamar, og det er ikke noe plunder og heft, tvert imot gjør det hverdagen lettere – selv om det kanskje er en liten dørstokkmil å trå over for de som ikke har satt seg inn i det ennå.
Bedre systemer, ikke merarbeid
Oppsummert handler altså standarder om å jobbe mot å bli bedre. Det er egne kapitler som handler om ledelsessystemer, som sikrer at du har gode prosesser gjennom hele virksomheten, avviksprosesser som fanger opp avvik, og at sikkerhetsvurderinger blir gjennomført. Det er også egne krav som deles ut på virksomhetens avdelinger, som de da jobber ut fra i sin hverdag.
– Dette er allmenngyldige, gode prosesser som de aller fleste virksomheter enten har, eller burde ha, på plass i dag – men som kanskje ikke er dokumentert på en fullgod måte. Men det er ingen grunn til å finne opp kruttet på nytt for den enkelte virksomhet. Å rette seg etter standarder gir ikke merarbeid, det bare endrer og systematiserer måten du jobber på, og sørger for tydeliggjøring av ansvar, forklarer Laupstad.
– Jeg ville tenkt med skrekk og gru på hvor vi hadde vært om vi ikke hadde vært sertifisert. Hvordan skulle vi gjort det da? Hvilke krav skulle vi pålagt alle avdelingene? Da ville vi vært tilbake til å finne på ting selv, sier han.
Om Standard Norge
Den ledende aktøren på nasjonal og internasjonal standardisering i Norge
Les mer »