Alla företag noterade på en USA-börs, inklusive utländska dotterbolag, är ålagda att följa SOX-kraven. Norsk Hydro Olje AB ställdes således inför den tuffa utmaning som SOX-anpassning innebär, men fann i SAFESIDE en partner som kunde hjälpa dem möta de nya informationssäkerhetskraven.
För företag som är noterade på någon av USA:s börser följer vissa skyldigheter. En sådan är att möta SOX-kraven, där specifika informationssäkerhetskrav härledda ur lagtexten I Sarbanes–Oxley Act ingår. Skyldigheten gäller även de noterade företagens dotterbolag och därmed också Norsk Hydro Olje AB. När SOX-kraven kom på agendan uppmärksammades IT-avdelningens många gånger nyckelpersonberoende funktioner, brister i och avsaknad av vissa säkerhetsrutiner och tillhörande dokumentation.
"Förutom SOX-kraven har vi även i övrigt höga säkerhetskrav." säger Caroline Johansson, informationssäkerhetsansvarig på Norsk Hydro Olje AB. "En faktor som bidrar till de höga kraven är den utbredda användningen av kredit- och bankkort på våra bensinstationer."
Kontroll av existerande brandvägg ingår i ett av SOX-kraven och detta initierade SAFESIDEs första uppdrag: Analys och penetreringstest av brandvägg. Med detta åtagande framgångsrikt slutfört följde en serie uppgifter där SAFESIDEs sedan länge etablerade arbetsmodell TOL, med komponenterna Teknik, Organisation och Ledning, kunde tillämpas fullt ut:
- Klassificering av information och system och koppling till SLA, samt framtagning av SLA-mallar.
- Kartläggning och dokumentering av processerna för förändrings- och incidenthantering.
- Definition och dokumentering av IT-personalens olika roller och vilka rutiner rollen associeras med.
- Framtagning av checklistor för periodiska driftsrutiner.
Konkret innebar uppgifterna, på sedvanligt sätt, studium av existerande rutiner, granskning av dokument, djupa intervjuer med IT- driftspersonalen och noggrann dokumentation. Men SAFESIDEs åtagande slutade inte här. Även i genomförandet, implementeringen, spelade SAFESIDE en aktiv roll. Vid överlämningen till IT-ledningen, som skedde i work-shop form, är SAFESIDEs roll att gå igenom, förklara och motivera varje föreslagen åtgärd. På så sätt säkerställs projektens korrekta genomförande och man underlättar för ledningen att få snabb acceptans för nya rutiner.
