Näringsliv och offentlig verksamhet verkar i dag i en alltmer komplex miljö där investeringar i form av tekniska säkerhetsåtgärder inte längre är tillräckliga för att hantera informationssäkerhetshot och -risker. En effektiv styrningsmodell för informationssäkerhet måste se till att samverkan sker mellan personal, processer och teknik för att erhålla rätt nivå av säkerhet som är anpassad till verksamhetens mål, inriktning, storlek samt interna och externa krav. Statliga myndigheter är ålagda att implementera ett Ledningssystem för informationssäkerhet (LIS) i enlighet med ISO/IEC 27001 och för många företag ställer bolagsstyrningskod, lagstiftning och gällande direktiv explicita krav på styrning och uppföljning av informationssäkerhetsarbetet.

Vi hjälper er att granska, analysera, utforma, införa och förbättra styrning av informationssäkerhet för att leva upp till såväl interna som externa krav. Våra insatser baseras genomgående på en övertygelse om att kraven på informationssäkerhet, verksamhetsnytta och lönsamhet låter sig förenas.

Vi erbjuder även ett antal olika specifika tjänster inom följande områden:

• Kartläggning, utvärdering och hantering av IT/informationssäkerhetsrisker
• Efterlevnad av internationella standarder (ISO/IEC 2700X) samt nationella krav, lagar och förordningar (Personuppgiftslagen, Patientdatalagen, etc. )
• Utbilda och medvetandegöra organisationen om informationssäkerhet
• Informationssäkerhetsmetriker för mätning av mognadsgraden i organisationen

IT-organisationer behöver kontinuerligt se över och förbättra sina rutiner för att möta olika typer av hot. Processer och säkerhetsaktiviteter behöver också samverka för att skapa ett effektivt och rationellt försvar enligt följande principer:

• Systemkonfigurationer ska svara mot kraven i organisationens riktlinjer för informationssäkerhet
• Systemuppdateringar måste göras snabbt och effektivt så att brister och säkerhetshål som leverantörer fortlöpande åtgärdar implementeras i den befintliga infrastrukturen
• Sårbarhetsanalyser bör genomföras regelbundet för att identifiera och hantera eventuella brister
• Incidenter, faktiska händelser såväl som avvärjda katastrofer, måste följas upp och analyseras

Vi erbjuder en helhetssyn kring hantering av olika sårbarheter inom IT. Vi hjälper er att förbättra er IT-säkerhet och samordna relaterade processer i en effektiv förvaltningsmodell. Våra tjänster omfattar dels förstudier för att kartlägga sårbarhet, befintliga processer och skyddsteknik, dels införandeprojekt som etablerar en ny sammanhållen och koordinerad hantering av sårbarhet och incidenter.

För att utvärdera er IT-säkerhetsnivå på ett effektivt och metodiskt sätt använder vi oss av penetrationstestning som anpassas till er specifika IT-miljö och era affärsmässiga krav. Vår ledande metodik innehåller ett brett spektrum av risker som organisationer kan utsättas för och vårt ramverk för penetrationstestning utvecklas kontinuerligt genom nya insikter. Vår metodik säkerställer att såväl företagsledning som tekniker får förståelse för identifierade brister, risker och rekommendationer.

Utmaningen att göra verksamhetskritisk information tillgänglig och samtidigt skydda den har aldrig varit större än idag. Organisationer lagrar alltmer känslig information som måste skyddas mot obehörig åtkomst. Samtidigt expanderar verksamheterna utanför de interna nätverken med externa samarbeten och ökat användande av molntjänster. Att informationen ska vara tillgänglig när och var som helst men endast för behöriga användare, såväl interna som externa, är idag en självklarhet för de flesta organisationer. Därutöver kräver skärpta lagar och regler att många verksamheter måste arbeta aktivt med att säkerställa att alla användare har endast nödvändig behörighet för att kunna utföra sitt arbete.

Med ökat antal användare som behöver tillgång till information blir manuella rutiner för att beställa, skapa, uppdatera, avsluta och granska behörigheter ofta både tidskrävande och bristfälliga. Många organisationer har ett stort antal användarkonton och användare med behörigheter som inte har ändrats under flera år. Olämpliga behörigheter och gamla användarkonton innebär ökad risk för bedrägerier och obehörig åtkomst till känslig information. En väl fungerande hantering av behörigheter leder till att dessa risker minskar, att användarupplevelsen förbättras (kortare ledtider för behörighetsbeställningar) och att kostnaderna reduceras (såsom för licenser, helpdesk och administration).

Deloitte erbjuder följande tjänster inom identitets- och åtkomsthantering (Identity and Access Management, IAM):

• Rådgivning inom bland annat strategi, förstudie, kravanalys, gapanalys och mognadsanalys.
• Granskning. Vi har en väletablerad tjänst inom Identity Audit där vi granskar policys och processer för IAM samt existerande behörighetsdata i kritiska verksamhetssystem och användarkataloger. Genom granskningen upptäcks ofta bristfälliga processer, gamla användarkonton, ackumulerade och höga behörigheter samt andra relaterade brister. Baserat på våra observationer ger vi konkreta och praktiska förslag på hur rutiner och kontroller bör förbättras och vi kan också hjälpa till att ”städa upp” befintliga behörigheter.
• Implementation. Vi assisterar genom hela livscykeln vid implementation av systemstöd och processförbättringar inom IAM, inklusive kravställning, design, implementation, test, utrullning och utbildning. Vi har erfarenhet av att införa samtliga ledande IAM-produkter på marknaden inom bland annat identitetshantering, systemtillgång, Single Sign-On, systemstöd för behörighetsgranskningar och hantering av administratörskonton. Vi genomför arbetet med stöd av vår globala metodik som innehåller de verktyg som krävs för lyckade projekt.

Det blir allt vanligare att verksamhetskritiska processer och känslig information hanteras på integrerade systemplattformar som ersätter tidigare manuella rutiner och separata system. Dessa rationaliseringar och automatiseringar medför nya risker då enskilda användare kan tilldelas omfattande behörigheter för att sköta det arbete som tidigare utfördes i flera led och av flera personer. Ibland leder detta till att roller och behörigheter överlappar varandra på ett sådant sätt att enskilda individer får behörigheter som inte överensstämmer med deras befogenheter.

Vi erbjuder anpassade hälsokontroller för ert affärssystem där vi undersöker systemkonfiguration, säkerhetsinställningar och behörighetskonfiguration. Vi kan också bistå med genomgång av mjukvara där vi går igenom allt ifrån förändringar i mjukvaran och granskning av faktisk kod till att testa säkerheten för en specifik applikation.

Med omfattande erfarenhet från flera affärssystem i många olika branscher har vi utvecklat verktyg och metoder för att snabbt och effektivt analysera säkerheten i affärssystem, som i sin tur kan avslöja potentiella konflikter. De risker som finns i systemkonfigurationer redovisas översiktligt och visar bland annat vilka användare, roller och behörigheter som berörs och vilka förhöjda risker som identifierade konflikter kan medföra.

Vi kan bistå med införandet av en ny behörighetsmodell eller med råd om hur säkerheten i ert affärssystem kan förbättras genom en konfiguration som överensstämmer med användarnas och verksamhetens krav. På detta sätt kan affärsprocesser och samarbete optimeras i organisationen utan att någon enskild individ får sådana omfattande behörigheter att misstag eller avsiktliga manipulationer kan skada verksamheten.

Hur en organisation kan dela affärskritisk information och samtidigt skydda verksamheten från avbrott är en central fråga inom kontinuitetsplanering (Business Continuity Management). Området har blivit en prioriterad fråga i takt med att användandet och beroendet av IT-system ökar. Likaså ställer regulatoriska krav nya förväntningar på hur kontinuitetsplaner ska upprättas och testas.

Behoven är givetvis unika för varje organisation och därför behöver risker och deras konsekvenser kartläggas, kostnadseffektiva åtgärder identifieras och utformas samt riskerna hanteras i speciella kontinuitetsplaner. Med hjälp av kontinuitetsplanering kan effekten av större incidenter minimeras och bidra till att skapa en större medvetenhet inom organisationen.

Vi har både lång och global erfarenhet av kontinuitetsplanering och hjälper organisationer från olika branscher och länder att skapa sig ett uppdaterat och brett perspektiv på hotbilder och risker avseende avbrott i verksamheten. Vi arbetar med en beprövad metodik för att kontinuitetsplaneringen ska genomföras på ett välstrukturerat sätt.Vi hjälper organisationer att förbereda sig för och reagera snabbt vid oförutsedda händelser som kan resultera i allvarliga avbrott i verksamheten.

Vi hjälper er med att kartlägga kritiska processer, systemberoende och hotbild. Resultatet av analysen är grunden för en kontinuitetsplan. Exempel på inledande frågor kan vara:

• Vilka processer är de mest kritiska för er affärsverksamhet?
• Vilka informationskällor är de mest kritiska i er organisation?
• Hur beroende är din organisation av nyckelresurser såsom IT-system och personal för att upprätthålla nödvändig verksamhet?
• Hur väl skulle er organisation kunna tackla en större incident såsom brand, informationsläckage, längre strömavbrott, överbelastning eller virusangrepp?

Vi hjälper er också med att utvärdera och utveckla existerande kontinuitetsplaner.

Vilken personlig information som insamlas och hanteras är för de flesta människor alltjämt en viktig fråga. I medier aktualiseras återkommande avslöjanden om hur personlig information har blivit insamlad och analyserad av olika stater och företag världen runt. Som en reaktion på detta pågår ett arbete med att uppdatera nuvarande legala regelverk och anpassa dem till dagens informationssamhälle och integritetskrav. Datainspektionen har också blivit mer aktiv när det gäller att kontrollera företag och myndigheter, och har uppmärksammat att det även i Sverige behövs bättre hantering av personlig information.

Parallellt med regulatoriska initiativ har medvetenheten hos det flesta människor ökat. Många har börjat begära att deras personliga information ska hanteras på ett korrekt sätt. Ett antal välkända företag har som en konsekvens av detta valt att se över hur de hanterar personlig information för att minska risken för kritik. Ett flertal andra företag förväntas göra detsamma för att vara konkurrenskraftiga på marknaden och gentemot medarbetare. I vissa EU-stater har dataskyddsmyndigheter i fall av felaktig hantering av personuppgifter utfärdat ett straff som multipliceras med antal medarbetare. Det kan därför bli kostsamt att inte hantera personlig information om sina medarbetare korrekt.

Vi kan hjälpa er att analysera, utforma, införa, förbättra eller revidera hantering av personlig information. Våra specialister har kunskap om regulatoriska krav och erforderlig teknisk kompetens för att effektivt kunna genomföra kompletta analyser och handlingsplaner. Vi erbjuder även ett antal olika specifika tjänster inom följande områden:

• Hantering av personlig information inom ramen för nyutveckling av system
• Granskning av uppfyllande av lagkrav i befintliga system
• Hantering av personlig information inom ramen för outsourcing av system

Den snabba IT-utvecklingen har gett organisationer enorma möjligheter att utveckla sina affärsmodeller, tjänster och produkter. Men medan den digitala revolutionen har utvecklat vårt sätt att göra affärer, har den också gett upphov till nya hot, risker och komplexa säkerhetsutmaningar som behöver hanteras. Digitala tillgångar som en gång var fysiskt skyddade, är idag tillgängliga på det öppna nätet. Kanaler och kopplingar mot kunder och leverantörer är känsliga för tekniska störningar. Brottslingar och terrorister har fått en ny spelplan att verka inom med stora möjligheter för stöld, bedrägeri och attack.

Cyberhot är inte längre begränsat till spioneri mellan stater eller den ensamme hackaren. Istället har de senaste attackerna mot stora organisationer haft betydligt bredare motiv och drivkrafter. Detta har resulterat i mycket omfattande konsekvenser för de drabbade organisationerna i form av bland annat minskat förtroende från kunder och andra intressenter samt sänkta aktiekurser.

Vi hjälper organisationer att förbereda sig för en attack, vara medvetna om riskerna och att reagera i rätt tid. Genom bredden av våra resurser, våra specialister globalt och våra relationer till branschledande leverantörer kan vi erbjuda holistiska lösningar på cybersäkerhet. Vår hjälp omfattar allt från att arrangera workshops med styrelser och ledningar för ökad beredskap och förståelse för betydelsen av robusta IT-planer för krishantering, till sårbarhetstestning av system och utbildning av personal.