Den vanligaste säkerhetsutmaningen 2024
Var elfte sekund sker en attack mot företag idag, men mörkertalet är stort. Få vågar prata om det eftersom det kan skada företagets image – men för att väcka ett större engagemang kring säkerhetsfrågor är det viktigt att vara öppen, och att polisanmäla.
Det största hotet som företag inom alla branscher och av alla storlekar möter idag är nätfiske (phishing). Den som utsätts blir lurad att exempelvis klicka på en länk i ett mail för att ge ifrån sig känsliga uppgifter som lösenord eller kontouppgifter. Det skulle kunna se ut som en inloggningssida där du fyller i dina användaruppgifter och ditt lösenord. Därefter tar angriparen dina uppgifter och kan i värsta fall komma in i det system som dina uppgifter gäller till. En hackare kan skicka ut 10 000 mail, men det kan räcka med att en enda person klickar på länken och fyller i sina uppgifter.
Visma Enterprise informationssäkerhetsarbete på global nivå
Inom hela Visma-koncernen är informationssäkerhet högprioriterat. Vi har valt att samarbeta med de största molnleverantörerna för våra tjänster för att skydda våra kunder till det yttersta.
– Just nu arbetar vi med processen att lyfta våra kunder som använder en on-premlösning till att börja använda vår SaaS-drift. Det är en större säkerhetsutmaning för kunder idag att själva ansvara för driften så generellt sett blir det säkrare om man går över till SaaS hos oss, säger Henrik.
Säkerhetsteam som stöttar hela Vismas verksamhet
Inom Visma håller vi obligatoriska, årliga kurser för våra medarbetare inom informationssäkerhet och compliance/GDPR. Förutom obligatoriska initiativ har vi exempelvis olika mötesforum där man på frivillig basis kan delta och arbeta vidare med frågor som dataskydd, säkerhet och compliance. Vi har även etablerat ett centralt säkerhetsteam som hjälper alla Vismas bolag på olika sätt
- Bistå med mer detaljer kring en viss säkerhetsrisk
- Omvärldsbevakning kring informationssäkerhet
- Informationsspridning internt till alla våra bolag
- Hjälpa till vid incidenter och intrångsförsök
- Analysera loggar för att se vad som är på gång
Ramverk för alla produkter: Visma Index
Inom Visma finns även ett omfattande ramverk för säkerhet och informationssäkerhet för alla produkter och bolag som kallas Visma Index. Det inkluderar exempelvis tillgång till avancerade kodanalysverktyg, automatisk penetrationstestning och den årliga manuella penetrationstestningen.
– Man måste kontinuerligt utvärdera och kontrollera sina utvecklingsprocesser och den produkt man levererar utifrån flera delar inom säkerhetsområdet. Visma Index hämtar automatiskt information från olika system som är kopplade till våra produkter och sätter poäng som placerar varje produkt i en viss säkerhetskategori. Målet för i år är att alla våra produkter ska ligga under den allra högsta klassificeringen, berättar Henrik. Agda PS uppnådde den nivån redan förra året, och de övriga ligger på den näst högsta nivån, som är den nivå Vismas centrala säkerhetsteam bestämt är en bra nivå för produkterna vi utvecklar.
ISO-certifiering och ett kontinuerligt internt säkerhetsarbete
Certifiering enligt ISO 27001
För att stärka det kontinuerliga informationssäkerhetsarbetet certifierades Visma Enterprise från 2020 enligt ISO 27001. Idag täcker certifieringen samtliga våra produkter. Certifieringen ställer krav på att jobba kontinuerligt med informationssäkerhet, bland annat genom kontinuerlig riskutvärdering och riskhantering. En granskning utförs även två gånger per år av intern och extern revisor.
– De två senaste åren har revisionerna gått väldigt bra. Vi har inte fått några avvikelser alls, utan enbart rekommenderade förbättringar som är valfria att utföra eller ej, säger Henrik. Vi har hittills alltid valt att göra alla förbättringar.
Interna insatser för att sprida kunskap
Att skapa medvetenhet internt kring säkerhet är ett måste. Det är inte bara säkerhetsavdelningens ansvar att hålla sig uppdaterad, utan varje enskild anställds. Det är därför viktigt för oss att kontinuerligt informera om informationssäkerhet, GDPR och interna riktlinjer. Förutom att sprida information och kunskap deltar vi på evenemang som European Cyber Security Month och arrangerar flera olika aktiviteter för att se till att varje anställd håller sig uppdaterad, som årliga phishing-tester.
Vismas centrala säkerhetsteam har också möte varje vecka där samtliga som jobbar med säkerhet eller informationssäkerhet får delta och informerar om aktuella hot, tillgängliga interna verktyg och åtgärder som alla kan göra för att minska riskerna.
Konkreta tips till företag som vill förbereda sig inför framtida säkerhetsutmaningar
- Skydda lösenorden: Säkerställ att de anställda använder starka lösenord. Ett starkt lösenord avgörs av längden (inte specialtecken). Sätt exempelvis ihop 4-5 slumpmässigt valda ord. Använd även alltid tvåstegsverifiering där det är möjligt.
- Håll tekniken uppdaterad: Se till att din utrustning alltid är uppdaterad genom att installera föreslagna säkerhetsuppdateringar så fort som möjligt. Använd inte heller äldre, utdaterad it-utrustning som inte går att uppdatera längre.
- Ha flera lager av säkerhet: Ofta jobbar bedragarna så att de vill pressa en – någon ringer och säger att en faktura måste attesteras direkt. Då måste du vara observant och tänka till kring era rutiner. Ett tips är att ha flera lager, där fler personer behövs för att attestera.
- Fokusera på er BCP (Business Continuity Plan): Med en genomtänkt BCP vet alla på företaget vad som behöver göras om någon form av attack inträffar.
- Motverka phishing: Låter det för bra för att vara sant? Då är det antagligen det. Det är viktigt att skapa medvetenhet och utbilda kontinuerligt, då det både alltid finns en viss personalomsättning, och saker är lätt att glömma.
Läs mer om hur du kommer igång med ett strukturerat säkerhetsarbete, och om du vill veta om hur vi jobbar med säkerhet och hantering av information kan du besöka Visma Trust Centre.