Stacken Podcast

Idag pratar Kim och Daniel om tvärfunktionella team. Varför fungerar det så bra i så många andra branscher men sällan i IT-branschen?

I dagens avsnitt pratar Kim och Daniel med Nils Undén, CTO på Clavister.  Det blir en hel del om det nuvarande cybersäkerhetsläget i världen och hur det påverkar Svenska företag och statliga myndigheter. De tar även upp Zero trust metodik och en rant om avatarer och hantering av identiteter i sociala medier.  

Vi jobbar så mycket bättre när vi sitter hemma själva.
Vi blir så mycket mera effektiva om vi inte träffas.
Mitt team levererar och mår så mycket bättre när vi dragit in vår sociala interaktion.

Håller du med?

Daniel och Kim gör inte det fullt ut, lyssna så ska de berätta varför det finns invändningar på effekten av att jobba hemifrån.

Idag gästas vi av Anders Johansson, CTO på Miljödata, för att diskutera förändring och digital evolution. 

I Veckans avsnitt pratar Kim och Daniel om hur kompetens och kultur kan stå i konflikt med varandra beroende på vem som besitter den och vad kompetensen utnyttjas till. I en bräcklig värld där goda råd är dyra så kan det får stora konsekvenser om vi tar ogrundade beslut för egen vinning.

Det diskuteras också förändringsresor och hur gamla system inte bara kan överföras, precis som de är, till molnet och förväntas fungera utan att man genomför en förändring i hur man arbetar med systemet.

Här har vi två gubbar som tröttnat på höga elpriser och med ett påklistrat tunnelseende är det idag Bitcoin som åker under bussen. Det blir snack om elkonsumtion, skattefrågor och briljanta lösningar på hur vi får bukt med eländet.

"Joe Biden skriver under garantier för dataöverföring – molnkaoset går mot sitt slut", skrevs det i Computer Sweden.

Kim och Daniel diskuterar It-världens mest omtalade signatur. Döper den bara om begrepp så att det inte låter så hemskt, eller löser den det "molnkaos" vi tydligen har just nu.

Kim vill ta upp hur GDPR påverkar något så enkelt som e-post. Det blir snack om BCC-fältet, bifogade filer och allmänna tankeställare kring hur svårt det blir att radera uppgifter när det behövs pga. backuper och hur e-post generellt sett hanteras.

Ni vet vartåt det lutar - Det är det hög tid att prata om vårt kära GDPR och amerikanska molntjänster igen. Fastän vi lovar så kommer vi konstant tillbaka till ämnet och det behövs uppenbarligen. Idag försöker vi vara lite extra pedagogiska när vi går igenom begreppet överföringar till tredjeland, de förtydliganden som gjorts från IMY och det där avtalet som är på gång mellan EU och USA.

I veckans avsnitt förklarar Kim och Daniel hur man gör en riskanalys och bjuder på en riskmatris som du kan använda när du ger dig på att göra din egen riskanalys.

DevOps är dött, länge leve Platform Engineering!

Vi bubblar om en artikel som har ett antal bra poänger om hur svårt DevOps är.

Frågorna fortsätter att hagla in gällande användandet av amerikanska moln och vad som egentligen är det stora problemet, framförallt i förhållande till de mänskliga rättigheterna. Vi ger det ett försök. Idag förklarar vi vad problemet är, hur svårt det är att få bukt med problemet och vilka alternativ som finns för att hitta en lösning på problemet.

It-produkter, tjänster och konsulter säljs till höger och vänster. Varför säljs inte lösningar i lika stor utsträckning?

Kim behövde övertalas att följa med på en kryssning till Tallinn och hans fru löste problemet genom att boka in dem på upplevelsen e-Estonia.  "This is the story of the world's most advanced digital society"

Hur ska vi få våra eftertraktade resurser att stanna kvar så att vi kan fortsätta att växa?

Idag fortsätter vi med den oändliga följetongen om GDPR i förhållande till offentlig sektor genom att ta upp ett antal problembilder. Vi pratar bland annat om att kraven på skydd av personuppgifter inte upphör för att ett myndighetsutövande måste kunna ske, stadgarna om mänskliga rättigheter, och vi förklarar konflikten mellan amerikansk underrättelseverksamhet och FN-stadgarna om mänskliga rättigheter som liksom kronan på verket ställer till det när det gäller överföring av data till just USA.

Idag minns vi Bengan Johansson. Förbundskapten, Idol och visionär inom modernt svensk ledarskap.

"Du köpte klamydiatest - Apoteket berättade för Facebook". Så lyder Sveriges Radios Rubrik på det uppmärksammade fallet med statliga apoteket som skickat information om sina kunders köp till Facebook. Det här måste vi ju prata om...

Precis som rubriken föreslår ska vi idag gå igenom och förklara vad Compliance as Code innebär. Häng med!

Vi måste prata klart om det här med att vissa verkar tro att allt är löst kring dataöverföringar mellan EU och USA.

Vi bryter ner Dev, Sec och Ops och förklarar hur konceptet är tänkt att fungera.

Ta det lite lugnt! Det enda som har hänt är att två politiker har tagit i hand och sagt att de ska försöka lösa saken.

Sluta gnälla om att GDPR är i vägen och börja utveckla din affär istället.

Vi har pratat en hel del om vikten av att träna på olika saker och idag ska vi prata om träning i självreflektion.

Tullverket åkte på en GDPR-bot på ca 300 000kr för att ett antal anställda använde Google Photos på sina jobbtelefoner.

Vi måste lära oss skillnaden mellan att hyra fysiska och/eller virtuella servrar och att konsumera infrastruktur som tjänst i ett moln. Ingenting är längre som det var på den traditionella sourcing-tiden, konsumtion av beräkningskraft i molnet är långt ifrån samma sak som att hyra en server - varesig du hyr en fysisk eller virtuell sådan.

Våra tankar och reflektioner runt det rådande kriget i Ukraina och vad du kan göra för att hjälpa Sveriges cyberskydd.

Kim erkänner sitt misstag och gör en korrigering gällande ett av sina senaste uttalanden.

Idag blir vi än en gång tekniska och förklarar begreppen stateful och stateless. Vi pratar även om varför det ena är att föredra när man bygger sin serverinfrastruktur och sin applikation.

Vi pratar om informationssäkerhet och motivation. Det är viktigt att vi förstår varför vi gör vad vi gör och att vi gör det vi gör av rätt anledningar.  

Kim berättar om en intressant tanke, och jämförelse, som slog honom när han bokade teaterbiljetter.

Varför blev vi upprörda över GDPR-domen som handlade om Google Fonts men inte över domarna mot användandet av Google Analytics? Låt oss förklara.

Ni frågade, vi svarar. Låt oss gå igenom skillnaden mellan ett DPA (Data Protection Agreement) och en Privacy Policy.

Med den senaste GDPR-domen verkar det nästan som att vi får sluta använda Internet helt och hållet. Idag pratar vi om sajten som åkte på typ en tusing i böter för att de använde Google Fonts och några tankar om ytterligheterna kring GDPR.

Är det något vi ofta blir ombedda att prata om så är det GDPR. Då gör vi väl det då. Idag blir det nästan lite nostalgiskt då vi spelar in ett avsnitt som back in the day, när vi hade GDPR podden.

Det finns de som hävdar att den personliga integriteten inte kan väga tyngre än människoliv. Låt oss bubbla lite om det...

Det är dags att återuppta ämnet GDPR och idag slår vi en gång för alla hål på myten om dataöverföringar till tredjeland och hur det bör definieras - både enligt oss själva, enligt EDPB´s uttalanden och enligt IMY och deras uttalanden.

Stockholms Stad säger nej till Microsoft 365. ”Det finns inte tillräckliga garantier mot att personuppgifter som hanteras i Stockholms stads it-system kan begäras ut av amerikanska myndigheter"

Innan jul pratade vi om vad en app är för någonting och hur den fungerar. I säsongens första avsnitt går vi vidare och berättar hur en app driftas, eller "ops:as", som det kanske kommer att heta framöver.

Vi avslutar 2021 med ett antal bok-, podd- och videotips som vi tycker att du borde kolla in under julledigheten.

På förekommen anledning försöker vi idag vara extremt pedagogiska och förklara hur en app fungerar. Vi kan inte vara nog tydliga med hur viktigt det är, för alla oss som tar olika former av beslut inom IT, att åtminstone ha en förståelse för hur saker och ting fungerar i den digitala världen.

Vi förklarar The EU Cybersecurity Act. Häng med och lär dig mer om det här banbrytande certifieringsramverket, som introduceras för alla IT- produkter, tjänster och processer inom EU.

Vad är eSamverkansprogrammet (eSam)? Vad gör de? Vilka kompetenser samlar de? Vilka får vara med och jobba med deras utredningar? Varför är den här expertgruppen och deras utlåtanden att lita på? Vi pratar även om bristen på leverantörer av digitala samarbetsplattformar, EDPB och överföringar till tredjeland.

Behöver vi alla förstå tekniken vi har omkring oss och som vi ska ta stora beslut kring eller kan vi helt enkelt delegera det till teknikerna

Publicerades ursprungligen 22:a juni 2020.

Oliver Patel och Dr Nathan Lea från University College London har skrivit ett högintressant whitepaper som heter "EU-U.S. Privacy Shield,  Brexit and the Future  of Transatlantic  Data Flows". Häng med när vi sammanfattar analysen och pekar på ett antal fundamentala skillnader mellan datalagarna inom EU och andra länder.

Publicerades ursprungligen den 5:e oktober, 2020.

Just idag pratar vi om överföring av data till tredjeland och hur problematiskt det blir när Privacy Shield inte längre finns. Datainspektionen har en liten lathund på ämnet och idag går vi igenom den från början till slut.

I och med att Privacy Shield föll i somras, till följd av utfallet i Schrems 2.0-fallet, är precis allting som har med den globala digitaliseringen i princip satt på ända. Får man skicka, behandla och göra data tillgängligt för USA? Vilka lagliga mekanismer finns egentligen för att göra det? Vad är det här med standardklausuler? Vi kommer såklart inte att gå igenom allt det här på en och samma gång men räkna med att vi kommer fortsätta att prata om det i kommande avsnitt.

Idag berättar vi vad du behöver göra om du vill fortsätta att använda Google Analytics i en tid där GDPR gäller och där Schrems II domen har fallit.

Kort och gott KAN du klamra dig fast och använda verktyget men det kräver också att du vidtar ett antal åtgärder för att hålla dig på rätt sida om lagen.

Vi fortsätter med vår specialare som inte hanns med innan jul. I en liten bonusserie om 7 delar pratar vi om The Seven Elements of Trust.

Idag pratar vi om SOU:s delbetänkande i it-driftsutredningen och ett par oerhört viktiga bedömningar som till synes går helt emot tillsynsmyndigheternas uttalanden.

Bakgrund:

I förra veckan kom delbetänkandet i it-driftsutredningen från Statens Offentliga Utredningar (SOU). Sammanfattat kan man säga att uppdraget går ut på att skapa bättre förutsättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv it-drift.

Enligt uppdragsbeskrivningen skall de bättre förutsättningarna uppnås "genom antingen samordnad statlig it-drift eller genom tydligare rättsliga förutsättningar för att kunna anlita privata leverantörer av it-drift". Delbetänkandet som nu har publicerats fokuserar på "förutsättningarna för statliga myndigheter, kommuner och regioner att utkontraktera it-drift."

Vi var nyligen med som panelmedlemmar i en serie öppna utfrågningar, Som en del av kampanjen Ett Moln För Europa. Från Sverige. Där svarade vi på frågor om regelefterlevnad och hur vi på City Network ser till att våra kunder kan fortsätta att skapa innovation utan att kompromissa med europeiska dataskyddslagar. Nu gör vi inspelningarna tillgängliga även för våra trogna Stacken-lyssnare.  Håll tillgodo!

Vi var nyligen med som panelmedlemmar i en serie öppna utfrågningar, som en del av kampanjen Ett Moln För Europa. Från Sverige. Där svarade vi på frågor om regelefterlevnad och hur vi på City Network ser till att våra kunder kan fortsätta att skapa innovation utan att kompromissa med europeiska dataskyddslagar. Nu gör vi inspelningarna tillgängliga även för våra trogna Stacken-lyssnare.  Håll tillgodo!

Vi kör en liten liten specialare såhär mot slutet av året. I en liten bonusserie om 7 delar pratar vi om The Seven Elements of Trust.

Snart är det jul och med det vill vi räcka över några boktips innan vi stänger butiken för 2020.

Hubba!

Idag svarar vi på lyssnarfrågor. Vi har en lång utläggning om varför det inte går att kategoriskt utesluta vissa tjänster, bara för at de levereras av ett amerikanskt bolag och driftas i en amerikansk molntjänst. Vi kommer in på skillnaden mellan att ha säkrat upp och ha gjort allt man kan kontra att utsätta personuppgifter för onödiga risker och vad GDPR tycker om det. Slutligen leder en lyssnarfråga oss osökt in på ämnet security by obscurity. Häng med!

Idag lyfter vi ett av de första, riktigt stora, fallen av grupptalan som förs mot Oracle och Salesforce med stöd av GDPR. Det handlar om löjligt mycket pengar och det ska förstås bli oerhört spännande att följa utvecklingen i de båda fallen. 

Idag pratar vi om fallet med det finländska psykoterapiföretaget Vastaamo som blivit hackade. I samband med att skandalen briserade för några dagar sedan framkom även att enskilda patienter har blivit utpressade och att patientjournaler nu sprids på darknet. Vi diskuterar även en läsarfråga om insynsrätten hos underbiträden och vid vidareoutsourcing.

"Men sker det någonsin i verkligheten eller är det något som jurister i sina elfenbenstorn tror ska hända?"

Häng med!

Idag tar vi upp ett högaktuellt fall där H&M i Tyskland åkt på GDPR-böter på 367 miljoner kronor. Vi pratar också om riskbedömningar och varför det är läge att inte enbart bedöma mot GDPR utan mot andra lagar och regler som på olika sätt riskerar den personliga integriteten.

Den 31:a december 2020 går tidsfristen ut för Storbritannien och den övergångsperiod som just nu pågår för utträdet ur Europeiska Unionen. I nyhetsrapporteringen som numera fokuserar på pandemin och andra stora händelser är det lätt glömma bort vad som är på väg att ske. I det här avsnittet vill vi påminna om att ett Brexit i allra högsta grad är på väg att genomföras och vad det, med nuvarande lagstiftning, kommer att innebära för dataöverföringar till just Storbritannien. Häng med!

Idag diskuterar vi värdet av att investera i medarbetarnas identitet. Som vanligt är det kopplat till informationssäkerhet. Gör något av det där tvingande PU-samtalet istället för att bara stöka av det.

Vi har även en liten cliffhanger om Brexit och EU's uttalande i förhållande till överföring av information.

Just idag pratar vi om överföring av data till tredjeland och hur problematiskt det blir när Privacy Shield inte längre finns. Datainspektionen har en liten lathund på ämnet och idag går vi igenom den från början till slut.

I och med att Privacy Shield föll i somras, till följd av utfallet i Schrems 2.0-fallet, är precis allting som har med den globala digitaliseringen i princip satt på ända. Får man skicka, behandla och göra data tillgängligt för USA? Vilka lagliga mekanismer finns egentligen för att göra det? Vad är det här med standardklausuler? Vi kommer såklart inte att gå igenom allt det här på en och samma gång men räkna med att vi kommer fortsätta att prata om det i kommande avsnitt.

Idag dyker vi ner i gruppkulturens förlovade land och diskuterar hur Blame, Complain och Defend-kultur och informationssäkerhet hänger ihop. För dig som anser att informationssäkerhet enbart handlar om tekniska åtgärder - häng med här och ta del av en annan åsikt.

Den 16:e juli föll domen i EU-domstolen som ogiltigförklarade Privacy Shield som en mekanism för lagliga dataöverföringar från EU till USA. I det här avsnittet pratar vi om den här oerhört viktiga domen och ger ännu mer bakgrund till hela fallet. Vi kikar även på en FAQ som European Data Protection Board (EDPB) har tagit fram som svar på de vanligaste frågorna som säkert många företag där ute har just nu. Framförallt företag som använder sig av molntjänster såsom Microsoft 365, Amazon AWS, Azure och Google G Suite.

Vårt i särklass största problem med informationssäkerhet är den mänskliga faktorn. Därför behöver vi hålla igång mentalt, på precis samma sätt som att vi behöver hålla igång fysiskt.

Häng med oss och i ett snack om plötsliga förändringar, ledarskap och mental träning.

Here we go again. EU domstolen har precis gett sitt utlåtande i fallet Schrems II. Första fallet, Schrems I, ogiltigförklarade det som kallades Safe harbour som gjorde att det gick att behandla personuppgifter i USA. Ett nytt avtal förhandlades för att ersätta Safe harbour, Privacy shield. Nu har precis Privacy shield blivit ogiltig av fallet Schrems II. Massor med företag som  behandlar personuppgifter i amerikanska tjänster som tex Facebook, Dropbox, Linked in och Salesforce har precis blivit olagliga. Vi reflekterar lite över domen tillsammans med Johan Christenson i ett extrainsatt specialavsnitt. Häng med!

Så har det blivit dags för oss att ta lite sommarledigt och vi pausar poddandet till hösten. Vi lämnar er med ett antal tips på böcker som vi verkligen kan rekommendera när ni hänger på Playa del Altan i sommar. Ha en riktigt skön sommar och på återhörande till hösten!

Oliver Patel och Dr Nathan Lea från University College London har skrivit ett högintressant whitepaper som heter "EU-U.S. Privacy Shield,  Brexit and the Future  of Transatlantic  Data Flows". Häng med när vi sammanfattar analysen och pekar på ett antal fundamentala skillnader mellan datalagarna inom EU och andra länder.

Idag grottar vi ner oss i det här med olika typer av as-a-service. Platform, Software och Infrastructure as a Service närmare bestämt. Vi förklarar vad de olika varianterna är och diskuterar behovsanalyser och hur viktigt det är att göra dem innan man bara kastar sig ut i molnet.

https://citynetwork.se/stacken

https://www.bmc.com/blogs/saas-vs-paas-vs-iaas-whats-the-difference-and-how-to-choose/

Vi intervjuar våra egna kvalitets- och HR chefer om den rådande situationen och tar reda på hur de ser på ledarskap på distans. Vi diskuterar grupper och gruppdynamik, olika faser och bjuds på lite tips och tankar om just ledarskap i coronatider.

Vi pratar om gruppdynamik och hur det relaterar till informationssäkerhet. Under fyra avsnitt, som motsvarar de fyra stadier som en grupp går igenom, kommer vi blanda forskning och erfarenheter om grupper i olika faser och hur det i slutändan hänger ihop med informationssäkerhet.

I sista delen av den här lilla serien om gruppdynamik pratar vi om högpresterande team och vad som utmärker dem. Vi berättar också om en femte och sista fas som inte är helt oviktig, nämligen avslutet.

Vi pratar om gruppdynamik och hur det relaterar till informationssäkerhet. Under fyra avsnitt, som motsvarar de fyra stadier som en grupp går igenom, kommer vi blanda forskning och erfarenheter om grupper i olika faser och hur det i slutändan hänger ihop med informationssäkerhet.

I del tre pratar vi om hur steg-3 grupper beter sig och vad som kännetecknar dem.

Vi pratar om gruppdynamik och hur det relaterar till informationssäkerhet. Under fyra avsnitt, som motsvarar de fyra stadier som en grupp går igenom, kommer vi blanda forskning och erfarenheter om grupper i olika faser och hur det i slutändan hänger ihop med informationssäkerhet.

I veckans avsnitt går vi vidare till nästa steg i gruppens utveckling och tittar på hur en steg-2 grupp beter sig och varför. Det som definierar det här steget är konflikter.

Vi pratar om gruppdynamik och hur det relaterar till informationssäkerhet. Under fyra avsnitt, som motsvarar de fyra stadier som en grupp går igenom, kommer vi blanda forskning och erfarenheter om grupper i olika faser och hur det i slutändan hänger ihop med informationssäkerhet.

Vi tar det från början och veckans avsnitt handlar om första steget i gruppens utveckling - cocktailfasen.

Idag fortsätter vi på utbildningsspåret och veckans ämne är molntjänster. Vad är egentligen ett moln?

Vi grottar ner oss i Infrastructure as a Service, IaaS, och hur det är upplagt, hur det fungerar och hur man avropar resurser från en molnleverantör. Vi pratar även om de stora fördelarna med att använda sig av flera leverantörer, ekonomin i molntjänster och en massa andra aspekter som gör dem så bra.

Vi avslutar med att prata om hotellkedjan Marriot och deras andra, stora dataläcka.

Vi diskuterar vad det här med multifaktor (autentisering) är för någonting och hur man kombinerar de olika faktorerna för att identifiera sig. Det blir lite snack om identitet i allmänhet och ett par tankar om hur ett datorsystem kan styrka att du är du. Vi tar upp det högaktuella ämnet om bluffmail som är förknippade med den rådande pandemin. Sist adresserar vi de miljardböter som finansinspektionen dömt ut mot Swedbank och en tanke om riskanalyser i förhållande till det.

I veckans avsnitt av Stacken tar vi upp det högaktuella ämnet att jobba hemifrån. Vi ger våra bästa tips och tankar kring förutsättningar, verktyg, approach och några tankar om beteenden, kultur, källor och annat som är viktigt att tänka på när vi plötsligt inte har våra normala rutiner att luta oss tillbaka på och information i överflöd.

Vi fortsätter på spåret utbildning och idag förklarar vi begreppet informationssäkerhet. Vad är egentligen informationssäkerhet och vad betyder det väl etablerade begreppet CIA Triad? Vi förklarar ingående vad C, I och A står för och vad de faktiskt innebär.

Vi har blivit ombedda av våra lyssnare att förklara det här med open source. Vad är det, hur fungerar det och vilka fördelar finns det med open source. Så det är precis vad vi kommer att avhandla i veckans avsnitt, en sorts grundkurs i open source.

Vi går igenom det här med ISO-certifikat och varför de är bra att ha ur perspektivet informationssäkerhet. Vi drar oss med en massa siffror, 27001, 27301 och flera andra. Sen summerar vi det hela med att förklara varför det så kallade Statement Of Applicability, SOA, är så mycket viktigare än själva certifikatet.  Häng med!

I veckans avsnitt lägger vi extra mycket krut på att besvara de lyssnarfrågor som vi har fått in. Det handlar bland annat om foton som lagras i internationella molntjänster och hanteringen av biometri, kryptering av backuper, Yubikey och förkortade URL:er i spam mail.

Vi tar upp 1177-läckan och den utredning som just nu pågår. Vi spekulerar i hur intressant det här caset är ur ett Europeiskt perspektiv, hur det kan tänkas sluta och var drar man gränsen för ansvaret.

Slutligen reagerar vi på en artikel om dysfunktionell IT-kultur och hur man snabbt och enkelt får bukt med problemet genom att rita om organisationsschemat.

Häng med!

Idag pratar vi om vikten av att kunna be om hjälp, hur man gör och varför det är viktigt att kunna göra det på ett bra sätt. Vi tittar på Diffusion of Innovations och diskuterar vad som händer när vi vill förändras men inte kan göra det med en positiv inställning. Sen knyter vi ihop säcken och funderar på vad det här har med informationssäkerhet att göra. Häng med!

Vi pratar containers och säkerhet med Johan Tordsson, CTO och medgrundare av Elastisys. Det blir lite säkerhet i allmänhet och tankar om hur man kan hålla på säkerheten i sina containers. Vi diskuterar säkerhetsprocesser och hur de kan hänga med i det höga tempot som utvecklingen håller idag.

Vi diskuterar och analyserar JO-anmälningen mot Göteborgs Stad efter deras beslut att driva igenom beslutet om att använda Office 365. Vi pratar lite om invånarna i Göteborg som i slutändan är de som påverkas av beslutet.

"Jag är inte tekniker så det där är alldeles för avancerat för mig" är en fras som chefer inte bör dra sig med 2020. Grundläggande kunskaper om IT-miljön och de tjänster du som chef köper in är det minsta man kan begära.

Sist men inte minst tar vi en titt i vår kära Enforcement Tracker och de senaste fallen som kommit in där. Vi konstaterar att det verkligen bara har börjat, de riktigt stora bötesbeloppen kommer komma, var så säker...

Mänskliga beteenden, ledarskap och multitasking är vad vi pratar om i veckans avsnitt av Stacken.

Den senaste tiden har vi snöat in en hel del på lag och ordning men vi vill ju prata om så många fler aspekter av informationssäkerhet. Och mänskliga beteenden och välmående är två av dem.

Så häng med oss när vi tar lite avstamp inför kommande avsnitt om säkerhetskultur, det kommer bli kul!