Säkerhet som standard – ISO 27001
Hailey HR är ISO 27001-certifierade. Certifieringen är en internationell standard för informationssäkerhet som ställer krav på strukturerade processer, tydliga policyer och proaktiv riskhantering.
Säkerheten i plattformen håller redan toppklass. För kunderna innebär ISO 27001 en extra trygghet: att säkerhet tas på lika stort allvar internt som i produkten. För företaget innebär det säkra rutiner som håller över tid.
Sandra Eriksson, Compliance Officer på Hailey HR, berättar om resan och vad den betyder för organisationen.
Säkerhet i organisationen
"På Hailey HR har säkerhet varit en del av vårt arbete från dag ett. Men för att det ska fungera i praktiken behöver tydligheten i de interna riktlinjerna och kommunikationen vara lika stark som i våra tekniska lösningar," säger Sandra som koordinerat certifieringsprocessen.
Från start har Hailey använt ISO 27001 som ramverk för sitt säkerhetsarbete, men den formella certifieringsprocessen startade först när bolaget nådde 100 medarbetare. Timingen var medveten. Att implementera ett ledningssystem för informationssäkerhet är omfattande och kräver mycket av alla i organisationen. Hur det ser ut i praktiken vid 10 anställda kontra 150 skiljer sig väldigt mycket.
"Hade vi genomfört certifieringen tidigt hade strukturen inte varit lika hållbar när vi växt till den storlek vi är idag. Nu har vi byggt upp både organisationen och kompetensen innan revisionen. Vi insåg tidigt att juridisk spetskompetens internt skulle bli nödvändigt, och idag har vi två jurister på plats som kunnat driva detta i mål på relativt kort tid," säger Henrik Jakobson, VD på Hailey HR.
Trygghet och enkelhet för kunderna
Certifieringen innebär att informationssäkerhetsarbetet kontinuerligt förbättras och underhålls, där en oberoende tredje part granskar regelbundet. Det innebär att kunderna kan luta sig tillbaka i vetskapen om att en standard framtagen av ämnesexperter följs, utan att själva behöva lägga kostsamma resurser på granskning.
"Vi vill vara proaktiva och säkerställa att våra användare känner sig trygga. En viktig del av det är att visa att vi är värda det förtroende de ger oss", säger Sandra.
Det handlar dels om trygghet, men också om att förenkla för företag som vill välja Hailey som leverantör. Istället för att lägga resurser på en egen granskning, kan man referera till den internationella säkerhetsstandarden ISO 27001.
Certifieringsprocessen i praktiken
Det finns inget färdigt recept för hur en ISO-certifierad organisation ska se ut, bara att certifieringens krav ska levas upp till. Hur man tar sig dit är upp till varje organisation. På Hailey HR inleddes arbetet med att starta en fokusgrupp med representanter från varje avdelning.
"Det är en organisatorisk uppgift som inte kan genomföras av en eller två personer. Det framgår redan av standarden att arbetet ska vara förankrat hos alla", förklarar Sandra.
För henne var fokusgrupperna viktiga för att snabbt få en bild av hur olika avdelningar arbetar och identifiera problemområden utan att störa verksamheten. Men en ISO-certifiering är inget engångsarbete. Det här är något som är en löpande del av verksamheten, där fokusgrupperna fortsätter spela en aktiv roll.
"När representanter från alla avdelningar får vara med gör det också att folk känner sig delaktiga, vilket underlättar efterlevnaden", förklarar Sandra.
Struktur för hållbarhet
Med nya rutiner och tydligare ramar kommer också en viss omställning. Men grundtanken har alltid varit att jobbet ska vara roligt.
"Effektivitet, säkerhet och kvalitet hänger samman. Det kan kännas tråkigt att implementera tydliga rutiner och begränsningar för roller, men det leder till något roligare i längden", säger Sandra. "Resultatet av det här arbetet ska vara en säkerhet som leder till kvalitet och kontinuitet."
Certifieringen handlar också om att säkra framtiden och succession. Utan dokumenterade roller och ansvarsområden kan kvalitet och säkerhet äventyras när uppgifter och ansvar vilar på inofficiella överenskommelser hos enskilda medarbetare.
"Mycket av certifieringen handlar om att dokumentera och sätta ramar, med officiellt uttalade roller och ansvarsområden", förklarar Sandra. "Det är en kvalitetssäkring som gör oss mindre sårbara för förändringar."
Det mest utmanande har varit det som förmodligen är utmanande i alla organisationer som genomgår förändring: nya krav som ska delegeras ut och nya rutiner som inte alltid möts med entusiasm. Det blir en prioriteringsfråga. En som är värd att ta.