010-207 03 04 info@viewledger.se

IT & Sikkerhet

Sikkerhet i våre skyløsninger

Ved skybaserte løsninger gir en på mange måter det operative driftsansvaret fra seg til skyleverandøren. Som følge av det øker behov for å revidere hvor vidt det er grunn til å stole på at leverandøren ivaretar blant annet cyber sikkerhet. Dette gjøres best gjennom årlige (eller mer frekvente) leverandør vurderinger eller såkalt «assessments». Viktige faktorer er innsyn eller sertifiseringer som kan bekrefte tilfredsstillende grad av sikkerhet. For IKT siden av en slik vurdering er det alltid fint å kunne referere til relevante sertifiseringer av standarder.

Alle VIEW sine ERP-skytjenester er sertifisert med ISO 27001 og eller ISAE 3402 – og det finnes også kvalitetsstandarder som ISO 9001 i leveransene.

view connect vår intgrasjonsplattform

Sikkerhet for våre kunder

Alle våre kunder får samme sikkerhet. Selv de minste får en sikkerhet man historisk ikke har kunnet forsvare økonomisk. Din sikkerhet i våre skysystemer gir en høyere grads entreprise funksjonalitet fra første brukerlisens, (i form av soner, redundans, tilgjengelighet, kryptering, skalering, sporbarhet m.m.). Man kan på mange måter si at det å samle kunder i en nettsentrisk løsning gir fellesfordeling av kostnader og høyere grad av skalerbarhet, sikkerhet og tilgjengelighet. Det er selvsagt forhold i slike leveranser en må vurdere i valg av løsning; en av disse er GDPR eller samsvarskrav i forhold til personvernforordningen.

Datasikkerhet

Som handler om å blant annet beskytte informasjon om virksomheten, forretningsdokumenter, personopplysninger og immaterielle rettigheter.

Altså beskyttelse av informasjon både i fysisk og digital form. Man følger dette gjerne i hovedområdene konfidensialitet, integritet og tilgjengelighet.

Vi har tre dimensjoner: teknologiske-, prosessuelle- og forretningsmessige- tilnærmings dimensjoner som alle bør spille sammen på en fornuftig måte.

Så er det slik at kostnad, sikkerhet og fleksibilitet historisk sett er motpoler, og det er vanskelig å prioritere èn, uten at det går ut over en av de to andre.

Cyber sikkerhet

Cyber sikkerhet Omhandler å beskytte IKT/ICT systemer og komponenter som data, programvare, hardvare og den digitale infrastrukturen fra angrep.

Dette er forhold man kan og bør adressere både med fysiske tiltak som eksempelvis brannmurer, gode rutiner og prosedyrer ved eksempelvis rettighetsstyring, lov og beste praksis regulert samsvarsarbeid, sette folk og teknologi på prøve ved testdriller for eksempelvis katastrofegjenoppretting (disaster-recovery) eller penetrasjon test – og rent forretningsmessige tiltak gjennom spissede forsikringsordninger.

“Våre IT systemer er opperative 24/7 og har under 1% nedetid. Det gir stabilitet og sikkerhet til våre kunder og det er jeg stolt av!”

– Dag Ove Valsgaard, CIO i VIEW

Personopplysningsloven med forordning

Personopplysningsloven består av nasjonale regler og EUs personvernforordning. Loven regulerer virksomheters behandling – innsamling og bruk av personopplysninger. Reglene gir virksomheter som VIEW og våre systemleverandører en rekke plikter – samtidig som loven gir enkeltpersoner en rekke rettigheter.

VIEW behandler personopplysninger på vegne av sine kunder og oppfyller selvsagt vilkårene i det relevante lovverket. Vi har kontinuerlige samsvarsprosesser for til enhver tid å være i samsvar med gjeldende lovverk. VIEW har eget personvernombud for å ha udelt og nøytral instans for behandling av våre prosesser og avvik som måtte oppstå, for å kunne revidere vår implementering av regelverket og for å drive opplysningsarbeid.

Se full oversikt for Virksomhetens plikter og Dine rettigheter her.

Virksomhetens plikter

  • Fastsette formål
  • Gi informasjon
  • Retting og sletting
  • Personvernombud
  • Ha behandlingsgrunnlag
  • Legge til rette for rettigheter
  • Vurdering av personvernkonsekveser og forhåndsdrøftelse
  • Innebygd personvern
  • Informasjonssikkerhet og internkontroll
  • Protokoll over behandlingsaktiviteter
  • Databehandleravtale
  • Avvikshåndtering
  • Overføring av personopplysninger ut av EØS

Dine rettigheter

  • Rett til innsyn
  • Rett til retting
  • Rett til sletting
  • Rett til begrensning
  • Rett til å protestere
  • Rettar ved automatiserte avgjerder
  • Rett til dataportabilitet
  • Rett til informasjon

“VIEW er organisert med kompetanse i ryggen, spesielt innen IKT, compliance og personvern. Så vi kan ivareta både selskapet og våre kunders sikkerhet og integritetsbehov.”

– Sonny Demi, ERP konsulent i VIEW

Grunnprinsipper for IKT sikkerhet

Som en veileder til norske virksomheter har Nasjonal Sikkerhetsmyndighet i sine råd og anbefalinger innenfor digital sikkerhet et veldig fint kart for grunnprinsipper i IKT sikkerhet.

Disse grunnprinsippene skal bidra til å heve sikkerhetskompetanse og sikkerhetsnivået i norske virksomheter og er relevante både for privat og offentlig sektor. Disse prinsippene er delt inn i fire kategorier. Les mer i tabellen nedenfor.

view connect vår intgrasjonsplattform

Sikkerhet i VIEW

VIEW tar sikkerhet både for deg som kunde og enkeltperson svært alvorlig. Vi adresserer dette gjennom både teknologiske-, prosessuelle- og en forretningsmessige- tiltak. Dette gjelder både for våre egne operasjoner så vel som våre underleverandører. Vi gjør dette i dimensjonene datasikkerhet, cyber-sikkerhet, GDPR og samsvar (compliance) funksjoner. Selskapets års-hjul inneholder aktiviteter og rapporteringer som skal ivareta at dette har fokus og faktisk blir gjennomført helt til styrenivå; samtidig som VIEW er organisert på en slik måte og med compliance, IKT og personverns personell at vi har kompetanse til å ivareta selskapet og våre kunder sine sikkerhets og integritetsbehov.

Du kan finne hele veilederen på nettsidene til Nasjonal Sikkerhetsmyndighet.

1. Identifisere og kartlegge

1.1 Kartlegg styrungsstrukturer, leveranser og understøttende systemer

1.2 Kartlegg enheter og programvare

1.3 Kartlegg brukere og behov for tilgang

2. Beskytte og opprettholde

2.1 Ivareta sikkerhet i anskafelses. og utviklingsprosesser

2.2 Etabler en sikker IKT-arkitektur

2.3 Ivareta en sikker konfigurasjon

2.4 Beskytt virksomhetens nttverk

2.5 Kontroller dataflyt

2.6 Ha kontroll på identiteter og tilganger

2.7 Beskytt data i ro og i transitt

2.8 Beskytt E-post og nettleser

2.9 Etabler evne til gjenoppretting av data

2.10 Integrer sikkerhet i prosess for endingshåndtering

3. Oppdage

3.1 Oppdag og fjern kjente sårbarheter og trusler

3.2 Etabler sikkerhetsovervåkning

3.3 Gjennomfør inntrengningstester

3.4 Gjennomfør intrengingtester

4. Håndtere og gjenopprette

4.1 Forbered virksomheten på håndtering av hendelser

4.2 Vurder og klassifiser hendelser

4.3 Kontroller og håndter hendelser

4.4 Evaluer og lær av hendelser