Sic parvis magna

Idag är det officiellt och jag kan meddela att jag sagt upp mig från Cool Company Skandinavien AB och går på pappaledighet för att primärt dedikera så mycket tid som möjligt till OSCP- utbildningen/certifieringen och barnen.

Sekundärt har jag planer på att starta eget aktiebolag och vill då erbjuda fullspektrum tjänster inom IT baserat på kompetens och erfarenhet från mina 15 år inom branschen.

Iom GDPR 2018 och ett långtgående ansvar gällande underleverantörer som detta medför- är jag övertygad om att många företag kommer tvingas omvärdera/byta ut dessa för att inte riskera repressalier. Även större krav på compliance och säkerhetsmedvetenhet kommer att behöva ställas på företagens egna personal för att fortsatt kunna bedriva verksamheten internt och gentemot kund. Detta tror jag även kommer resultera i att fler utvecklare kommer gå mot certifiering/utbildning inom säkerhet för att både stärka sin position på marknaden och för ett ökat business value.

Här ser jag då en styrka/ett stort värde samt möjlighet iom min bakgrund och fokus som jag nu önskar följa under 2017 och framåt- antingen via eget bolag eller under anställning.

“Sic parvis magna” – Greatness from small beginnings

Resa, presentation och nya insikter

Fort Lauderdale

Fort Lauderdale

Så är det måndag och sista dagarna innan vi reser mot Florida (1/12) med hela familjen och svärmor med sambo.

Vi har planerat att utgå från Fort Lauderdale och under 5 dagar hoppas vi få uppleva både Miami Beach samt Key West.

Tidigare planer var att besöka flertalet studios i Orlando, men vi kom gemensamt fram till att det skulle bli både stressigt och komprimerat att få in detta under dessa dagar. Vi satsar på sol och bad istället!

Arbetsmässigt så var det verkligen intressant och givande att närvara på Frukostseminarium: Dataskyddslagen (GDPR) i praktiken som hölls vid Clarion Sign Hotel. Albin Zuccato från SENTOR hade som förväntat den mest intressanta dragningen och James Cotton körde i praktiken mest en säljdragning för Information Builders system och tjänst (som i sig visade på ett intressant koncept gällande data-relationer/profilering för att ex kunna möta GDPR krav). Jag stötte även på en gammal kollega från tidigare anställning under mySafety Försäkringar AB vilket var mycket trevlig!

Dagen efter höll jag min presentation gällande den security-review som jag utfört tidigare. Utgångspunkt ISO 27001 samt ISO 27002 som benchmark med en security review matrix via University of California, Santa cruz. Huvudfokus låg primärt på:

  • Infrastructure
  • Environmental
  • Network
  • System
  • Human

Sekundärt presenterade jag även applikationsrelaterad information samt en mycket övergripande dragning gällande just GDPR och hur det kommer påverka verksamheten. Med ovan ISO-modeller så tror jag att verksamheten kommer ha en bra grund att påbörja resan mot GDPR compliance.

Att komprimera all ovan information i en PowerPoint presentation på 11 sidor är en utmaning i sig, men jag upplever att denna + all ackumulerad data som jag genererat under starten på min anställning bör vara en bra utgångspunkt för ett framtida fortsatt arbete.

Under denna korta tid på Cool Company Skandinavien AB så har jag kommit till ytterligare insikter gällande säkerhetsrelaterat arbete. Detta är något jag vill fokusera på i sådan grad att jag nu ser över möjligheterna att faktiskt göra så till 100%. Min breda bakgrund inom IT (allt från hårdvara, infrastruktur, arkitektur, utveckling) ger mig insikt i hur säkerheten påverkar alla segment. Som ordspråket lyder “En kedja är aldrig starkare än dess svagaste länk”.

Hur jag förverkligar detta återkommer jag med senare i veckan då jag officiellt fått bekräftelse på ett ärende. Jag kan dock förtälja att jag igår genomförde registreringen för OSCP och har för avsikt att påbörja mina 60dagars åtkomst till virtuella labben i början på januari.
Realistiskt så tror jag att detta kommer bli ett pågående projekt mellan 5-6 månader beroende på den tid jag kan allokera till studierna samt hur bra jag kan anamma “Try harder“.

Allt gott!

Frukostseminarium: Dataskyddslagen (GDPR) i praktiken

Det går framåt på jobbet och jag har nu under kommande vecka i uppgift att sammanställa resultatet från min Security review + information om ISO27000 och förberedelser inför GDPR 2018 i två upplagor. En upplaga på 10 punkter som CTO skall ta del av samt en detaljerad presentation avsedd för styrelsen.

Som nämnt är det viktigt att ledningen är med på tåget från början då detta arbete involverar verksamhetens kärna och alla dess anställda.

Spännande är då ett frukostseminarium som jag kommer att närvara på den 23 november vid Clarion Sign Hotel där en av talarna är Albin Zuccato (Head of Information Security) från SENTOR MMS AB

Security review och GDPR compliance

Som ny på en arbetsplats kommer man in med nya ögon och ser bara möjligheter i form av nya implementationer och synergier mellan redan befintliga tjänster och kunder. Efter en tid när man bekantat sig med ett företags infrastruktur, system och rutiner så blir bilden oftast en aning mer fokuserad- som det sig bör.

De flesta företag som utvecklar och förvaltar sin egna kodbas/applikation har garanterat under resans gång ackumulerat en respektabel mängd av s.k kodskuld. Detta är ett direkt resultat som b.la kommer från att största delen av fokus ligger på nyutveckling/lansering (varvat med brandsläckning) då detta förknippas med ett direkt ökat business value.

Ju längre resan pågår utan att man stannar upp och reflekterar/aktivt arbetar med kodskulden- ju större kommer arbetet/kostnaden i slutändan att bli då man hela tiden expanderar/utvidgar en applikation eller tjänster på en bas som ex ej är optimerad, skalbar, modulär/ segmenterad eller säker.

Detsamma appliceras även på säkerhet inom ett företag.

Det är omfattande och utmanande att i/på en redan etablerad företagsmodell applicera nya säkerhetspolicys och rutiner beroende på vad tidigare definition och nivå av säkerhet är/har varit.

GDPR

GDPR

Med ett stort intresse för säkerhet blir jag naturligtvis glad över att få genomföra både security review på nuvarande företag (infrastruktur, system, miljö och användare) samt informera och förhoppningsvis leda företaget mot compliance för kommande GDPR som träder i kraft 2018-05-25. Ett arbete som de flesta företag/ organisationer säkerligen kommer att uppleva som omfattande och kostsamt utan direkt ROI eller ökat business value.

Här är det då viktigt att man är medveten om en större kostnad (böter) på €20 milj eller 4% global turnover om man ej uppnår compliance med följder därefter.

Jag ser med spänning fram mot att få kunna bidra med ovan och bli många erfarenheter rikare.