Effektiv sikkerhetsledelse i kommunen handler om mer enn tekniske verktøy. Det krever et systematisk rammeverk som sikrer kvalitet gjennom hele livsløpet til systemene dere bruker hver dag. Hos Visma styrer vi dette arbeidet gjennom Visma Application Security Program (VASP) – en modell som gjør prinsipper om til trygghet for dere.
Målbar risikostyring gir dokumentert trygghet
Sikkerhetsledelse er ikke en engangsjobb, men en kontinuerlig prosess. For IT-ledere og kommunedirektører betyr god sikkerhetsledelse hos leverandøren at risiko reduseres og etterlevelse dokumenteres.
God ledelse krever data. Derfor starter vårt arbeid med et system for å måle og klassifisere risiko i hver enkelt løsning kommunen bruker.
- Security Maturity Index (SMI): Hvert produkt får et definert sikkerhetsnivå basert på risikoprofil. Vi måler kontinuerlig produktets faktiske modenhet.
- Datadrevet innsikt: Avvik mellom ønsket nivå og målt resultat gir en konkret handlingsplan. Dette sikrer at vår sikkerhetsledelse er basert på fakta, ikke antakelser.
Sikkerhet bygget inn, ikke påskrudd
Vi bygger sikkerhet inn i utviklingsprosessen fra starten. Dette kalles Secure Software Development Lifecycle. Målet er at dere skal få en løsning der sårbarheter er identifisert og rettet lenge før de når deres brukere.
VASP integrerer dette gjennom flere lag:
- Automatisert kildekodeanalyse - Static Application Security Testing (SAST): Vi skanner koden for sårbarheter mens den skrives. Dette gir umiddelbar feilretting.
- Kontroll på tredjepart - Software Composition Analysis(SCA):Vi overvåker alle åpne biblioteker for å sikre at ingen sårbarheter sniker seg inn via underleverandører.
- Dynamisk testing i drift - Dynamic Application Security Testing(DAST): Løsningene testes kontinuerlig ved å simulere reelle angrep (DAST), slik at vi alltid ligger i forkant av trusselaktører.
Proaktiv sårbarhetsledelse: Vi finner feilene før hackerne
Passivt forsvar er sjelden nok i dagens trusselbilde. Aktiv sikkerhetsledelse innebærer å lete etter svakheter før de kan utnyttes.
- Overvåking i sanntid: Vårt Cyber Threat Intelligence-team overvåker trusselbildet døgnet rundt.
- Penetrasjonstesting: Manuelle testere angriper systemene våre slik en reell hacker ville gjort, for å avdekke svakheter som automatiserte verktøy ikke finner.
- Etiske hackere på laget: Gjennom vårt Bug Bounty-program inviterer vi globale eksperter til å angripe systemene våre. Slik finner vi de mest komplekse hullene før noen andre gjør det.
Vil du vite mer om hvordan vi jobber med beskyttelse av data? Les mer om vår tilnærming til datasikkerhet her
Se hva Visma Flyts CEO Magnus Moan og Vismas sikkerhetsekspert Espen Johansen har å fortelle om bruken av etiske hackere:
Operasjonell kontroll og kontinuerlig styring
Sikkerhetsledelse slutter ikke ved lansering. Det krever en kultur for kontinuerlig forbedring og streng kontroll over hvem som har tilgang til hva.
- Med verktøy som Orca overvåkes skymiljøet vårt i sanntid for å avdekke feilkonfigurasjoner og trusler.
- Sikker loggføring: Logger beskyttes og struktureres i henhold til GDPR-krav, noe som sikrer sporbarhet ved en eventuell hendelse.
- Selvvurdering (Self-Assessment): Teamene gjennomgår årlig egne rutiner og systemer for å identifisere forbedringsområder, i en prosess som kvalitetssikres av en sikkerhetsansvarlig.
Vi gjennomfører jevnlige tilgangskontroller etter prinsippet om "minste privilegium". Dette minimerer den interne risikoen. Samtidig overvåker vi skyinfrastrukturen i sanntid for å fange opp feilkonfigurasjoner umiddelbart.
Systematisk ledelse skaper reell sikkerhet
Når kommunen velger en samarbeidspartner, er leverandørens interne prosesser deres viktigste forsvar. Ved å kombinere måling, proaktiv testing og innebygd sikkerhet, skaper vi en transparent modell for sikkerhetsledelse. Dette er deres trygghet for at dataene i kommunens fagsystemer er godt beskyttet – både i dag og i fremtiden.
Ønsker du å vite mer om hvordan vi ivaretar sikkerheten i deres løsninger?
Les mer om hvordan vi jobber med datasikkerhet, personvern og etterlevelse av lover og regler:
Har du spesifikke spørsmål om sikkerhetsledelse eller hvordan vi forbereder oss på NIS2?
Kontakt oss for en uforpliktende prat.
