Hur vet jag att mitt system är säkert?

När man köper in en IT-produkt, ett system eller ingår ett IT-tjänsteavtal, är det många säkerhetsaspekter man bör ha med sig.

Ställ höga krav på din leverantör

Ett av flera bra sätt att säkerställa att den leverantör man väljer arbetar på rätt sätt med säkerhet, är att göra en leverantörsutvärdering. Då får du en initial uppfattning om hur väl leverantören möter dina krav och förväntningar.

– När vi ska köpa in ett nytt system till Hogia använder vi bland annat ett systemstöd för att göra en leverantörsutvärdering när det gäller informationssäkerhet och dataskydd innan vi ingår ett avtal, berättar Hans Gartzell, säkerhetschef på Hogia.

Hans Gartzell, säkerhetschef på Hogia

Enligt Hans bör man generellt ställa mycket höga krav när det gäller IT- och informationssäkerhet, integritets- och dataskydd, fysisk säkerhet och kontinuitets- och krishantering. Och inte minst när det gäller lagring av personuppgifter.

– Man kan säga att det är en hygienfaktor för den som köper in eller är ansvarig för ett system att ha koll på var data lagras och vilken typ av data som lagras av ett programvaruföretag. Speciellt om det rör sig om behandling av personuppgifter, då Dataskyddsförordningen ställer höga krav på teknisk och organisatorisk säkerhet oavsett om företaget är personuppgiftsansvarig eller personuppgiftsbiträde.

Per Boman arbetar som IT-säkerhetsspecialist på Hogia Infrastructure Services. Han förklarar att även när det gäller programvaruutveckling, underliggande infrastruktur, drift och support så måste säkerhet alltid vara högt prioriterat och finnas med i programvaruleverantörens DNA.

– Man ska också veta att det finns skillnader kring säkerhet mellan molnbaserade system och de system du installerar direkt på din dator. Molnbaserade system är generellt snabbare, mer flexibla och mer skalbara efter de digitala förutsättningarna. Det medför att de kräver en rad olika uppsättningar av principer, tekniker och kontroller för att skydda data, program och infrastruktur mot potentiella säkerhetshot.

Risker och åtgärder för hackerattacker

Riskerna kring informations- och uppgiftshantering är många och konsekvenserna kan bli förödande. Det kan till exempel handla om att det finns risker för att känslig företagskritisk information hamnar i orätta händer eller att företag har bristande hantering av personuppgifter. När hackerattacker ökar runtom i världen ser vi också en ökad risk att till exempel drabbas av en så kallad Ransomware-attack.

Detta hände i somras då de amerikanska företaget Kaseya råkade ut för en utpressningsattack vilken gav många svenska företag, bland annat Coop, stora problem.

– Det krävs att det finns reaktiva åtgärder för att minimera negativa följdeffekter när skadan redan har skett, säger Hans. Men enligt mig är det extremt viktigt att ha proaktiva säkerhetsåtgärder på plats för att kunna förutse olika händelser innan något händer.

– Dessvärre är det stor risk att du blir bestulen på dina datauppgifter om du råkar ut för en attack. Det kan då vara avgörande om IT-tjänsten är skyddad av segmenterade nätverk eller inte, och hur behörighetsmodeller ser ut. I en sådan situation är det viktigt att alla medarbetare på företaget har ett högt säkerhetsmedvetande och att det finns säkerhetssystem och personal som direkt kan analysera och agera, konstaterar Hans.

Hogias säkerhetsarbete

På Hogia har vi en säkerhetsorganisation som består av en dedikerad säkerhetsgrupp samt integritets- och dataskyddsteam. Dessa arbetar dagligen med säkerhet. Teamen omvärldsbevakar löpande trender inom IT- och informationssäkerhet genom att bland annat vara aktiva på olika säkerhetskonferenser, delta i nätverk och ha en pågående dialog med leverantörer. Hogiagruppen har också tagit fram en Integritetspolicy. Den är central för att kunna möta lagkrav, men också för att skapa förutsättningar att kunna värna den personliga integriteten och aktivt eftersträva en hög nivå av dataskydd.

– Vi har arbetat under lång tid efter olika standarder och best practices inom säkerhet och våra molnplattformar, Hogia STAR och Hogia Cloud, är nu certifierade inom ISO 27001, säger Per. Det är en nationell standardcertifiering inom säkerhet som skapar ökad trygghet för våra medarbetare, kunder och partners.

Per Boman, IT-säkerhetsspecialist Hogia Infrastructure Services

Säkerhet är självklart genomgående i Hogias alla system och applikationer. Till vår digitala signeringstjänst, Hogia Signit, har vi tagit fram ett säkerhetsdokument där vi berättar mer detaljerat hur vårt säkerhetsarbete kan se ut i våra produkter.

– Hogia använder kryptografiska säkerhetsåtgärder för att säkerställa korrekt och verkningsfull användning av kryptering för att skydda informationens konfidentialitet, äkthet och riktighet. I våra molnplattformar sker all nätverkskommunikation krypterat och även den information som ligger lagrad i vila (Data at rest) krypteras.

I våra system har du också alltid tillgång till dina uppgifter. Både lagring av kundinformation och backup görs i Sverige för de tjänster som driftas lokalt, och inom EU för våra molntjänster. 

– Att något ”lagras i molnet” innebär att informationen lagras på ett säkert sätt i en molntjänstleverantörs infrastruktur enligt uppsatta regelverk och säkerhetskrav, berättar Per. När informationen lagras lokalt på en dator eller server kanske inte de senaste säkerhetsuppdateringarna är gjorda och det kan innebära att angripare kan ha större möjlighet att utnyttja sårbarheten. Man kan säga att det är oändligt mycket större fördelar med molntjänster i den digitaliserade värld vi lever i, avslutar Per.

Vill du veta mer om hur Hogia arbetar med IT-säkerhet? Läs mer och anmäl dig till vårt digitala seminarium den 30/5