När tusentals
användare varje dag arbetar i HR-appen krävs säkerhet som både är tekniskt
robust och förtroendeskapande. För Roxx Webb handlar det om att skydda
människors information – och göra det på ett strukturerat, långsiktigt och
tydligt sätt.
Linus Karlsson, IT-tekniker Roxx Webb
När många
människor dagligen använder samma app för sina arbetsuppgifter blir
datasäkerhet inte bara en teknisk fråga – utan också en mänsklig. För Roxx Webb
handlar säkerhetsarbetet om att värna förtroendet. Varje dag hanteras
information som rör både individer och verksamheter, och att den hålls säker är
resultatet av ett medvetet och systematiskt arbetssätt.
– Säkerhet är
inget projekt man gör klart. Det är något vi måste leva med varje dag, säger Pontus
Schiöld, vd på Roxx Webb.
Arbetet följer
principer från ISO 27001-ramverket, där risker identifieras, värderas och
dokumenteras fortlöpande. Riskloggen uppdateras när förändringar i systemet kan
påverka säkerheten, vilket gör den ständigt aktuell.
Infrastruktur i Sverige – med flera skyddslager
All data i
HR-appen lagras i servermiljöer i Sverige. Backuper säkras i oförändliga kopior
som inte kan manipuleras i efterhand. Kommunikation mellan användare och system
är alltid krypterad, och kundspecifika integrationer roteras regelbundet för
att minska risken för obehörig åtkomst. Linus Karlsson, IT-ansvarig på Roxx
Webb, pekar på flera andra sätt att skydda och kontrollera den data som lagras
i HR-appen.
– Behörigheter
styrs via rollbaserade rättigheter och Single Sign-On. Om kunden använder Office
365 går det också att addera multifaktorautentisering. En annan möjlighet är
att lägga till egna Conditional Access-policys för ytterligare kontroll,
berättar Linus.
Löpande uppdatering och test
Servermiljöer,
brandväggar och klienter uppdateras kontinuerligt, och alla ändringar loggas
och följs upp. Backuper körs två gånger om dagen och kompletteras med veckovisa
och årliga fullkopior. Vid behov kan data återställas inom en timme – en rutin
som regelbundet testas för att säkerställa att processerna fungerar som de ska.
Incidenthantering och ständig förbättring
Vid incidenter
följer Roxx Webb NIS2-direktivets tidslinjer: rapportering inom 24 timmar,
följt av en fördjupad rapport inom 72 timmar och en slutrapport inom en månad.
Sårbarhetsanalys
av extern part har genomförts och planeras vid behov. I senaste mätningen från
SecurityScorecard nådde Roxx Webb högsta betyg, 100 av 100 poäng – ett tydligt
kvitto på att det strukturerade säkerhetsarbetet fungerar.
– Vi ser det
som en ständig resa. Säkerhet får aldrig stå still, säger Linus.
En del av kulturen
För Roxx Webb
är säkerhet inte ett sidospår, utan en självklar del av kulturen. Det handlar
om ansvar, respekt för användarna och långsiktigt förtroende. HR-appen
utvecklas med ett tydligt mål: att vara ett tryggt nav i kundernas
verksamheter.
– Våra kunder
ska känna att deras information är säker. Det är vårt ansvar – varje dag, i
varje uppdatering, i varje klick, avslutar Pontus.