Sparc Group är en snabbväxare i ordets rätta bemärkelse i installationsbranschen. De köper på sig bolag i snabb takt för att växa inom elinstallation, VVS-branschen, säkerhet och datakom. Genom förvärven har de nått miljardomsättning.
Som cio på ett bolag som köpt på sig över 50 bolag på bara två år har man en speciell situation – att konsolidera it-miljön, göra sig av med det som inte passar in och införliva det man vill satsa på.
När CIO Sweden träffar Sparc Groups cio Daniel Ekroth konstaterar han att ägarna precis genomfört sitt 58:e förvärv och han säger att it-miljöerna i de förvärvade bolagen skiljer sig åt oerhört mycket.
– En del kommer in med en bra uppsättning, andra har i princip ingenting alls. Jag kom in som totalansvarig för it och ska konsolidera, standardisera och framförallt knyta ihop säkerheten.
Försöker bygga enkelt
Det har varit en del att bena i, fortsätter Daniel Ekroth. När han kom in som cio hade bolaget över ett dussin olika leverantörer. Vad de gjorde var att de startade upp ett dotterbolag som var fokuserat på it, Two Stone IT och som ska ”onboarda” de nya bolagen i den säkerhetsplattform som tagits fram.
Genom det här bolaget har de konsoliderat it-miljön så att datacenterdrift ligger hos en partner, systemintegration hos en annan och så vidare.
De har försökt bygga upp en så enkel miljö som möjligt, baserad på i huvudsak Microsoft 365 och Fortnox. Daniel Ekroth är dock noga med att påpeka att de inte gjort sig av med allt som de förvärvade bolagen kommit in med – finns potential så vävs det in i den egna plattformen.
Vad har ni fått in för leverantörer som en följd av alla förvärv?
– Det är väldigt blandat, en enorm flora. Från de här klassiska helhetsleverantörerna som tar hand om allt till specifika programleverantörer och affärssystem. Det har varit allt från helhetsavtal med tillhörande support och SLA till ingenting med Hotmail-konton.
– Men vi har inte haft något intresse att avveckla för avvecklandets skull. Däremot måste vi ha kontroll och överblick, och kunna tillhandahålla så nära 100 procents tillgänglighet som möjligt.
Jobbar med zero trust
Som grund när Daniel Ekroth byggt upp it-miljön på Sparc Group har han hela tiden haft säkerheten. Företaget är precis som alla andra företag i samma storlek utsatta för en bred flora hot: nätfiske, ransomware, AT (account takeover) och så vidare.
De bestämde sig för att satsa på zero trust-konceptet, nolltillit med Barracuda Networks plattform ”som stomme”, säger Daniel Ekroth. Som namnet antyder innebär detta att man inte litar på någon eller något, varken användare eller enheter.
– Vi ville samla oss kring en gemensam strategi och sätta upp en mall för hur vi vill att verksamheterna ska se ut och vad som behöver skyddas. Zero Trust är en bra utgångspunkt och långsiktigt mål.
Hur ser du på hotbilden mot ert företag?
– Den skiljer sig inte åt från andra. Det är hela paletten med till exempel nätfiske, AT, ddos och så vidare. Men hos oss är det väldigt många små bolag som varit en del av det lilla men som kommer in i ett större sammanhang. Det medför en del utmaningar.
Daniel Ekroth berättar att de lagt mycket tid på en solid plan för upptäckt och återställning, disaster recovery plan.
Det är inte en fråga om utan när något sker, som han uttrycker det.
– Men sedan ska zero trust som grund genomsyra alla delar. Vi har fått ett antal bitar på plats men vi fortsätter sträva efter det.
Vad innebär zero trust för er?
– Att vi inte litar på någon eller något någon gång. Att vi undviker ”superusers” som har 100 procents tillgång till allt utan varje individ ska ha det minsta möjliga till det man behöver för sin arbetsdag. Regeln gäller i alla lager från identitet, enhet, nätverk och så vidare. Man ska bara ha tillgång till det man behöver. Vi litar inte på några enheter, utan har systemstöd för att hela tiden autentisera inloggning och pågående sessioner mot 365 och Fortnox.
Extern SOC
En annan bit av säkerheten är en SOC, Security Operation Center – en extern tjänst med larmhantering och övervakning.
Daniel Ekroth säger att bolaget kommit långt med att få ordning på tillgänglighet och nätverk – men att de framöver kommer att handla mycket om utbildning.
– Vi måste utbilda våra användare och höja den generella kompetensen och medvetenheten. Man kan dra det här hur långt som helst.
Vad har ni fått för respons från anställda och användare?
– Vi har fått positiv respons. De uppskattar att det är lätt att använda systemen. När vi väl har enheterna konfigurerade så blir det väldigt enkelt att arbeta på det här sättet.