Så klarar Ericssons säkerhetschef nattsömnen

I sex år har Pär Gunnarsson haft rollen som global säkerhetschef på Ericsson. Det innebär att han har ansvaret för företagssäkerheten i de 180 länder där Ericsson är verksamt. Centralt har han en grupp på cirka 15 personer med olika slags säkerhetskompetenser.

– En mångfald av kompetenser och erfarenheter är en styrka i säkerhetsarbetet.

Globalt är säkerhetsarbetet indelat i tio regioner med en ansvarig för varje region som rapporterar till honom. Själv rapporterar han till Ericssons cfo. Det är också denne som ytterst ansvarar för företagets risk management.

Av hans många arbetsuppgifter är det informationssäkerheten som kräver mest engagemang och resurser.

– I takt med att Ericssons immateriella tillgångar ökar, blir det också allt viktigare att säkra dem. Det är särskilt viktigt för Ericsson, som ägnar sig så mycket åt utveckling.

Han framhåller också att utredningar i samband med misstänkta intrångsförsök och informationsläckage är en viktig uppgift.

– Det är viktigt att se utredningarna som investeringar för att hela tiden förbättra säkerheten.

En central uppgift är att hantera kriser och här har Ericsson en mycket tydlig modell att tillämpa.

– Varje gång en verksamhetskritisk process i företaget ändras, så görs en ny riskanalys.

Det görs också en koncernövergripande sammanställning av samtliga risker, som regelbundet rapporteras till koncernledningen.

Andra uppgifter är skydd av kunddata och finansiell information.

– Självklart är mitt ansvar också personskydd. Vi måste skydda vår personal var de än befinner sig i de 180 länder där vi är verksamma.

Det har förekommit att en anställd får propåer om att lämna ut information på ett illojalt sätt mot företaget. Det kan till exempel gälla resultatet av internt forskningsarbete.

– Då ställer vi upp med råd och stöd. Utreder och klarar ut vad som hänt.

I sådana har situationer kan det också bli frågan om att samverka med polismyndigheten.

– Även här har vi processer för hur vi ska agera och eventuellt samverka med myndigheter i olika länder där vi är verksamma.

Ett område där han inte har ett direkt ansvar är strikt produktsäkerhet. För den ansvarar Ericssons cto beroende på produktområde. Men visst kan Pär Gunnarsson får frågor om produktsäkerhet.

– Jag kan till exempel få frågor från personer som har min roll hos våra kunder. Då hänvisar jag till de produktansvariga, men svarar på frågor om vårt interna säkerhetsarbete.

Ericsson tillämpar också säkerhetsstandarder och vissa delar av verksamheten certifieras enligt ISO 27001.

Det är ingen idé att fråga Pär Gunnarsson om vilket virusprogram eller vilket operativsystem för mobiler som är det säkraste. Han svar är alltid den senaste uppdateringen eller versionen.

– Självklart gör vi även sådana riskanalyser, men ansvaret för tekniken ligger hos it-säkerhetsfunktionen.

Han framhåller att säkerhet alltid måste värderas utifrån de tre samverkande faktorerna teknik, person och process.

– Om jag utrustar dig med en teknisk lösning och du inte vet hur den ska hanteras eller du inte följer instruktionerna, så är det ingen bra säkerhetslösning.

När det gäller sourcingavtalen med HP och IBM, så ligger säkerhetsansvaret för dessa hos finansavdelningen och det övergripande säkerhetsansvaret ligger hos koncernens cio.

Det är således modellen för hantering av säkerheten som gör att Pär Gunnarsson känner sig trygg och kan sova om nätterna.

– Samtidigt måste jag hela tiden förbättra och utveckla skyddet av verksamheten. Det är en given följd av en ständigt föränderlig affärsverksamhet. Föreställningen att vi som säkerhetsexperter skulle vara nej-sägare stämmer inte för vår grupp.