Visma Security Program (VSP) er ryggraden sikkerhetsarbeidet vårt. Som leverandør til Norges kommuner og forvalter av sensitive persondata, vet vi at tillit er avgjørende. VSP er vårt løfte til kundene: en helhetlig og proaktiv strategi designet for å beskytte data, forebygge angrep og sikre kontinuerlig drift.
Programmet er ikke et enkeltstående tiltak, men et levende økosystem bygget på flere sentrale pilarer. La oss se nærmere på hvordan Visma Security Program fungerer i praksis.
Pilar 1: Sikkerhetskultur – Mennesket som første forsvarslinje
Ingen av oss ønsker å være den som åpner porten for en trusselaktør. Allikevel skjer det. Vi trykker på en lenke, vi lar oss manipulere. Derfor er regelmessig og obligatorisk sikkerhetsopplæring en kjernedel av VSP. Vi trener våre ansatte i å gjenkjenne avanserte metoder for phishing og sosial manipulasjon. For oss som jobber i Visma og dermed forvalter verdier både for selskapet og for kundene våre er det ekstra viktig at vi ikke er upålitelige portvakter. Derfor har Visma et eget sikkerhetskurs som ansatte må gjennom regelmessig. Her bevisstgjøres vi på metodene svindlerne bruker og hvordan vi skal unngå fellene de legger ut for oss. Vel anvendt tid, spesielt i en travel hverdag. For det er ofte da uhellene skjer.
Ønsker du å lese flere artikler? Abonner på bloggen.
Pilar 2: Proaktiv risikostyring – Å ligge et skritt foran
Vi i Visma sitter ikke stille og venter på angrep. Tvert om, vi benytter oss av svindlernes egen verktøykasse. Etiske hackere (også kalt eksterne dataeksperter) oppmuntres til å lete etter sårbarheter i systemene våre. De beste av dem havner til og med på vår “Wall of Fame,” fordi de har gjort selskapet en uvurderlig tjeneste. Når en av våre hackere finner et sikkerhetshull, rekker vi nemlig å tette det før en mindre etisk anlagt person oppdager og utnytter det samme hullet.
En egen gruppe ansatte fra Visma overvåker det mørke nettet. Er det noen der ute som tilbyr for salg kompromitterte brukerkontoer, lekkede data eller annet materiale fra Visma eller noen av kundene våre? Dersom noe slikt oppdages, har vi direktelinjer til politiet, PST, Kripos eller Europol. Det handles dermed raskt, for å unngå at skaden skjer.
Pilar 3: Organisering og ansvar – en dedikert sikkerhetsorganisasjon
Visma Security Program er forankret i en robust organisasjon med tydelige ansvarslinjer, som sikrer ekspertise og rask respons.
I Visma sentralt sitter 85 sikkerhetsanalytikere (eksperter), og I sikkerhetssenteret vårt, Global Security Operations Center (GCOC ), har vi sikkerhetseksanalytikere som kan bistå samtlige utviklingsteam ved hendelser. Dette er VSPs operasjonelle hjerte. På tvers av alle selskapene har vi 500 sikkerhets-og personvernsansvarlige som gir støtte til alle Vismas selskaper døgnet rundt, hele året.
Hvert eneste Visma-selskap har sin egen Data Protection Manager (DPM). Denne personen tar seg av den daglige sikkerheten i selskapet og rapporterer til administrerende direktør.
Vi har i tillegg en egen gruppe, The Visma Group Legal & Compliance Team som kontrollerer at selskapet til enhver tid er i samsvar med gjeldende lover og regler og assisterer og gir råd til DPM’ene om datasikkerhet.
Hvert av våre utviklingsteam har sin egen Security Engineer. Vedkommende er medlem av en gruppe, en Security Guild. Her deler medlemmene erfaringer og får også opplæring fra det sentrale sikkerhetsteamet.
Sikkerhetshull skal ha dårlige odds hos oss.
Pilar 4: Teknologi og innovasjon – KI som en del av forsvaret
De proffe sikkerhetsfolkene som jobber hos oss er vår beste sikkerhetsgaranti. Samtidig jobber vi målrettet med å lage KI-agenter til å assistere oss. Både når det gjelder sikkerhet og på andre områder satser vi tungt på effektiv bruk av KI. Vi vet at vi kan forvente en økning i KI-relatert svindel i tiden som kommer, så også av den grunn må vi bekjempe denne trusselen med dens egne våpen.
Pilar 5: Tillit gjennom transparens – beviset på at VSP fungerer
Hull? Feilkonfigurasjoner? Kjente svakheter? Vi er godt rustet til å håndtere dem. Senteret prosesserer 2,5 milliarder hendelser hver eneste dag, og vi scanner 2,4 milliarder kodelinjer, IP-adresser, nettadresser og domener på jakt etter sårbarheter. I 2024 overvåket vi 5 milliarder hendelser, og 100000 av disse vurderte vi som mistenkelige. 304 viste seg å være reelle angrep, 2 av dem cyberangrep mot Flyt. Hvor mange av disse angrepene endte med økonomisk tap for Flyt eller kundene våre? Ingen av dem. 
Vi legger ikke skjul på hvordan vi jobber med sikkerhet, eller at vi er stolte av sikkerheten vår. Vi er avhengige av tillit i markedet, derfor er vi opptatt av åpenhet og transparens.
Pilar 6: Sikker leverandørkjede – VSP stiller krav
Sikkerhet stopper ikke ved våre egne systemer. Visma Security Program stiller strenge sikkerhets –og samsvarskrav til våre strategiske partnere. Vi har valgt Microsoft Azure, og Amazon Web services fordi de lever opp til sikkerhetskravene våre. Samarbeidet er nært og tett. Enkelte av løsningene våre driftes også på datasenter i Norge av Visma Software Int. Gjennom jevnlige møter sikrer vi at hele vår leverandørkjede lever opp til de standardene kundene våre forventer.
Visma Flyt følger standarder
Visma Flyt er også designet og driftes for å følge Normen for informasjonssikkerhet og personvern. i helse- og omsorgssektoren.
Etterlevelse av Normen er ikke et tillegg, men en integrert del av hele livssyklusen til Visma Flyt. Vi følger Normen gjennom en helhetlig tilnærming som kombinerer vårt ISO-sertifiserte sikkerhetsprogram (VASP), konkrete tiltak i løsningen som kryptering og sikker pålogging med ID-porten, samt kontinuerlig 24/7 overvåking og profesjonell hendelseshåndtering (SPIP)
Visma Flyt følger NSMs grunnprinsipper for å bygge digital motstandskraft.
Visma Security Program: Et helhetlig løfte om sikkerhet
VSP er mer enn en samling retningslinjer; det er en levende, pustende organisme som kombinerer mennesker, prosesser og teknologi. Få flere detaljer om kjernen i VSP – VASP Visma Security Application program. Det er vår metode for å sikre at vi er forberedt på dagens trusler og rustet for morgendagens utfordringer, slik at vi kontinuerlig kan gjøre oss fortjent til våre kunders tillit.
