Ambassadörer för säkerhet

Ett decentraliserat ansvar för säkerhet tror vi ger den bästa säkerheten för våra kunders data. Ett dataläckage av exempelvis källskyddad information kan få mycket stora konsekvenser för våra tipsare samt för oss som företag. Genom programmet Security Champions skapar vi ambassadörer för säkerhet hos våra IT och utvecklarteam på Bonnier News.

Hösten 2021 startade Bonnier News det säkerhetsteam som idag består av sex medlemmar — Bonnier News Tech Säkerhet. Syftet med teamet var och är att bland annat hjälpa utvecklarteam på de olika varumärkena att uppfylla högt ställda förväntningar på cybersäkerhet. Säkerhetskraven (Baseline Security Requirements) kommer från Bonnier-gruppen och försäkringsbolagens höga krav för tecknandet av vår cyberförsäkring. Dessa krav belyser exempelvis vikten av att vi bevarar källskydd på information. Källskydd innebär att en person som tipsar om händelse till någon av våra tidningar, skall känna sig trygg att dess identitet inte röjs.

Vi i teamet Tech Säkerhet arbetar uteslutande med säkerhetsfrågor. Vårt uppdrag är att hjälpa organisationen att jobba med säkerhet i sitt dagliga arbete.

Vi som team skulle omöjligt kunna ta ansvar själva för och säkerställa all typ av cybersäkerhet i vår stora organisation. Skulle vi ta på oss allt ansvar för säkerhet skulle vi mycket snabbt bli blockers för organisationen och direkt gå emot våra tekniska principer. Istället ligger vårt teams fokus på:

• Utbildning
• Uppmuntran
• Inspiration
• Mätningar
• Rådgivning

Med olika typer av utbildningsinsatser försöker vi proaktivt vägleda våra medarbetare i att agera säkert i sitt dagliga arbete. Exempel på det kan vara att vi under en onboarding för nya medarbetare på Tech visar hur lösenord hanteras i Bonnier News lösenordshanterare. Eller när vi på ett säkerhetsforum (möte varannan vecka öppet för alla) pratar om hur utvecklare i Google Cloud jobbar med autentisering eller kryptering på ett enkelt och effektivt sätt.

När denna story skrivs har vi precis haft höstens gemensamma dag för våra Security Champions. Under detta tillfälle introducerades en för oss ny e-learningtjänst som skall stötta våra champions kring att bygga kunskap relaterat till cybersäkerhet. Med gästföreläsare från bland annat Scania och SEB har vi inspirerats av deras liknande initiativ kring att utbilda Security Champions. Flera i Techs Säkerhetsteam har även mer fokuserad utbildningsplan kring pentestning och malwareanalys. Dess förmågor stärker vårt försvar och förbättrar vår respons när en hotaktör upptäcks.

En del av vårt arbete är att genomföra förberedda eller oförberedda granskningar av våra interna eller publika tjänster. Resultat av automatiserade säkerhetsgenomlysningar delges våra utvecklarteam, som vid behov konsulterar oss för rådgivning.

I vår organisation ska alla utvecklingsteam, men även grupperingar på exempelvis IT, ha minst en Security Champion. För en utvecklare som tar sig an rollen som Security Champion innebär det inte bara att man utför ett viktigt uppdrag för organisationen utan också att man får personlig utveckling inom ett område där det råder stor kompetensbrist.

Som Security Champion bär man inte själv hela ansvaret för säkerheten i sitt team, det är allas ansvar. Vi på Tech Säkerhet har Security Champions som en första kontakt när det gäller informationsspridning ut i organisationen. Att arbeta med säkerhet på Bonnier News är i högsta grad ett gemensamt arbete.

/ Team Tech Säkerhet