Effektiv sikkerhetsledelse handler om mer enn en sjekkliste med tekniske verktøy; det krever et systematisk og målbart rammeverk som sikrer kvalitet gjennom hele livsløpet til et produkt. Hos Visma er kjernen i dette arbeidet vårt Visma Application Security Program (VASP). VASP er ikke bare en samling aktiviteter, men en styringsmodell som omsetter prinsipper for sikkerhetsledelse til konkrete, målbare handlinger.
Fundamentet: Målbar risikostyring
God ledelse krever data. Derfor starter VASP med et system for å måle og klassifisere risiko.
- Security Maturity Index (SMI) og Tiers: Hvert produkt tildeles et ønsket sikkerhetsnivå (en "tier") basert på dets risikoprofil. Deretter måler vi kontinuerlig produktets faktiske sikkerhetsmodenhet med en Security Maturity Index (SMI). Avvik mellom ønsket nivå og målt resultat gir oss en konkret handlingsplan for forbedring. Denne prosessen sikrer at vår sikkerhetsledelse er datadrevet og at vi kan dokumentere etterlevelse overfor kundene.
Sikkerhet bygget inn, ikke påskrudd: Secure SDLC
En sentral del av moderne sikkerhetsledelse er å bygge sikkerhet inn i utviklingsprosessen fra starten (Secure Software Development Lifecycle). Målet er å identifisere og rette feil så tidlig som mulig – når det er enklest og billigst. VASP integrerer dette prinsippet gjennom flere lag:
- Statisk kildekodeanalyse: Static Application Security Testing (SAST): Før ny kode publiseres, analyseres den for sårbarheter direkte i utviklerens verktøy. Dette gir umiddelbar tilbakemelding og sikrer at feil rettes tidlig, når det er mest kostnadseffektivt.
- Analyse av tredjepartskode: Software Composition Analysis(SCA): Vi bruker verktøy for å identifisere sårbarheter i åpne biblioteker og kontrollere lisenser, slik at vi har full kontroll på alle komponenter i vår programvare.
- Dynamisk testing: Dynamic Application Security Testing(DAST): Løsningene våre testes kontinuerlig mens de er i drift ved å simulere eksterne angrep mot kjente sårbarheter, som de definert i OWASP Top 10. OWASP Top 10 beskriver de vanligste angrepstypene.
Ønsker du å lese flere artikler? Abonner på bloggen.
Proaktiv sårbarhetsledelse: Å finne feil før andre gjør det
Passivt forsvar er ikke nok. God sikkerhetsledelse innebærer å aktivt lete etter svakheter.
- Cyber Threat Intelligence (CTI): Et eget team overvåker trusselbildet i sanntid – fra det mørke nettet til sosiale medier – for å fange opp risikoer før de blir et problem.
- Penetrasjonstesting: Manuelle testere angriper systemene våre slik en reell hacker ville gjort, for å avdekke svakheter som automatiserte verktøy ikke finner.
- Bug Bounty-program: Vi inviterer etiske hackere til å finne sårbarheter mot betaling. Dette gir oss tilgang til et globalt nettverk av kreative eksperter som hjelper oss å styrke forsvaret vårt.
Operasjonell kontroll og kontinuerlig sikkerhetsstyring
Sikkerhetsledelse slutter ikke når et produkt er lansert. Det krever kontinuerlig overvåking, kontroll og en kultur for forbedring.
- Overvåking av skyinfrastruktur: Med verktøy som Orca overvåkes skymiljøet vårt i sanntid for å avdekke feilkonfigurasjoner og trusler.
- Tilgangskontroll (Privileged Access Review): Tilganger gjennomgås jevnlig etter prinsippet om "minste privilegium", for å minimere intern risiko.
- Sikker loggføring: Logger beskyttes og struktureres i henhold til GDPR-krav, noe som sikrer sporbarhet ved en eventuell hendelse.
- Selvvurdering (Self-Assessment): Teamene gjennomgår årlig egne rutiner og systemer for å identifisere forbedringsområder, i en prosess som kvalitetssikres av en sikkerhetsansvarlig.
Systematisk ledelse skaper reell sikkerhet
Hver av disse aktivitetene er en viktig brikke, men det er det helhetlige rammeverket i VASP som utgjør vår reelle styrke. Ved å kombinere måling, proaktiv testing, innebygd sikkerhet og kontinuerlig forbedring, skaper vi en robust og transparent modell for sikkerhetsledelse som er bygget for å møte et trusselbilde i konstant endring.
