Choose language

Vismas digitale verktøykasse


digital verktøykasse

En anskaffelsesprosess handler om å minimere risiko og sikre forutsigbarhet. Når en kommune skal velge en strategisk partner for digitale tjenester, er evnen til å dokumentere og garantere for informasjonssikkerhet ikke bare et ønske – det er et absolutt krav. Valget som tas, må kunne forsvares og etterprøves.

Visma forstår dette. Vår tilnærming til sikkerhet er ikke en tilleggstjeneste, men selve fundamentet produktene våre bygges på. Hvordan besvarer Vismas sikkerhetsarkitektur de strenge kravene i en offentlig anbudsprosess? Les videre.

 

Visma Secutiryt program2
Alle sier at de “tar sikkerheten på alvor” – vi i Visma dokumenterer hvordan vi gjør det.

Fra kravspesifikasjon til dokumenterbar etterlevelse

I et anbudsunderlag presenteres en rekke krav til sikkerhet, risikostyring og databehandling. Vår styrke ligger i at vi har bygget et helhetlig system som proaktivt møter disse kravene. Vi ser på Vismas sikkerhetsapparat som en komplett verktøykasse for etterlevelse.

  1. Visma Security Program (VSP): Vår overordnede, strategiske ramme for sikkerhetskultur, risikostyring og organisatorisk ansvar, bygget på de tre kjerneprinsippene: konfidensialitet, integritet og tilgjengelighet.
  2. Visma Application Security Program (VASP): Vår konkrete, tekniske styringsmodell for hvordan vi bygger, tester og vedlikeholder sikkerheten i hver enkelt applikasjon.
  3. Risikostyring for hele verdikjeden: Strenge krav til partnere.
  4. Visma Cloud Delivery Model
    (VCDM)    : Sikre skytjenester

Sammen utgjør disse en transparent og verifiserbar struktur som lar oss dokumentere etterlevelse på alle nivåer. 

Verktøy 1: Tydelig ansvars- og styringsmodell (VSP)

Hvem er ansvarlig når en hendelse inntreffer? En god styringsmodell er avgjørende. Visma har investert tungt i en robust sikkerhetsorganisasjon med klare ansvarslinjer – en kritisk faktor i enhver risikovurdering. Dette sikrer et tydelig kontaktpunkt og en garantert responstid, styrt av vår faste prosedyre for hendelseshåndtering, Security and Privacy Incident Process (SPIP).

  • Dedikerte ressurser: Vårt Global Security Operations Center (G-SOC) er bemannet av 85 sikkerhetsanalytikere. Samlet har vi 500 sikkerhets- og personvernansvarlige på tvers av selskapene. Dette er ikke generalister, men dedikerte eksperter hvis eneste formål er å overvåke, analysere og respondere på trusler.
  • Klar ansvarsfordeling: Hvert utviklingsteam har en egen Security Engineer. Hvert Visma-selskap har en Data Protection Manager (DPM). Dette sikrer at sikkerhetsansvaret er forankret lokalt, med støtte fra en sentral ekspertorganisasjon. For kundene våre betyr dette et tydelig kontaktpunkt og en garantert responstid.

Verktøy 2: Målbar og etterprøvbar sikkerhet (VASP)

Kjernen i Visma VASP (Visma Application Security Program) er vår Security Maturity Index (SMI) – en tilstandsrapport for programvarens sikkerhet.

Visma Index er vårt verktøy for å måle sikkerhet i sanntid. Kort fortalt:

Visma VASP er regelboken som sier hva vi skal gjøre for å være sikre. Visma Index er den kontinuerlige poengsummen som beviser at vi faktisk gjør det.

SMI gir programvaren en konkret poengsum for hvor godt den er sikret på ulike områder. Hvert produkt får en rangering fra Bronse til Platinum (hvor bronse tilsvarer ISO 27001-krav), noe som gir oss en kontinuerlig og datadrevet oversikt over sikkerheten.

Visma Index fungerer som et strategisk styringsverktøy. Det gir ledelsen konkrete data for å fatte riktige sikkerhetsbeslutninger, og fungerer samtidig som et varslingssystem. Hvis et produkts sikkerhetsnivå faller, går alarmen direkte til toppledelsen, noe som garanterer rask handling og ansvarliggjøring.

Dette gjør at vi ikke bare føler at noe er trygt, men at vi kan måle det – og se nøyaktig hvor vi eventuelt må sette inn forbedringer.

Visma Index stor

Vi kan dokumentere at våre løsninger ikke bare oppfyller, men vedlikeholder det avtalte sikkerhetsnivået over tid. Avvik fra normen utløser umiddelbare tiltak, noe som sikrer kontinuerlig forbedring – et vanlig krav i offentlige tjenesteavtaler.

Denne målbare tilnærmingen er bygget på en Secure Software Development Lifecycle (SDLC), som inkluderer Automatisk kildekodeanalyse (SAST og SCA) som finner og retter sårbarheter i kode og tredjepartskomponenter før løsningen når kundene våre.

Automatisk kildekodeanalyse (Static Application Security Testing, SAST) er som å la en robot sjekke byggetegningene til et hus. Roboten ser etter designfeil eller svake punkter i planen.

Analyse av programvaresammensetning (Software Composition Analysis, SCA) er som en kvalitetskontroll av materialene (vinduer, dører, planker). Den sjekker om leverandøren har sendt ut en advarsel om at vinduene har en kjent svakhet, slik at de kan bytte dem ut.

Kontinuerlig dynamisk testing (Dynamic Application Security Testing, DAST): Simulerer angrep mot løsninger i drift for å avdekke svakheter i henhold til anerkjente standarder som OWASP (Open Web Application Security Project) Top 10.

DAST er som å ha en «innbruddstyv» på kontrakt.

Han prøver aktivt å dirke opp låser og sjekke om vinduene kan åpnes fra utsiden. Målet er å oppdage sikkerhetshull i det ferdige bygget, slik en ekte angriper ville forsøkt å gjøre.

OWASP Top 10 er rett og slett «Innbruddstyvenes Topp 10-liste».

Dette er en berømt liste laget av sikkerhetseksperter fra hele verden. Listen viser de ti vanligste og farligste metodene som ekte hackere bruker for å bryte seg inn i programvare.

Ved å sjekke at «huset» er sikret mot akkurat disse ti punktene, har vi allerede stoppet de aller fleste innbruddsforsøkene.

Resultatet er en tilnærming til sikkerhet som kan dokumenteres og revideres.

I tillegg til automatisert testing, inkluderer vår tilnærming en kontinuerlig og proaktiv jakt på sårbarheter. Dette omfatter jevnlig penetrasjonstesting, der eksterne eksperter prøver å hacke oss, et Bug Bounty-program hvor vi belønner etiske hackere for å finne feil, og trusseletterretning, Cyber Threat Intelligence (CTI) som overvåker det mørke nettet for spesifikke trusler mot våre løsninger.

Verktøy 3: Risikostyring for hele verdikjeden

I en anbudsprosess må dere vurdere risikoen knyttet til underleverandører. Visma tar dette ansvaret på vegne av våre kunder.

  • Strenge krav til partnere: Vi inngår kun strategiske partnerskap med skyleverandører som Microsoft Azure, AWS og Google Cloud, som er underlagt våre strenge sikkerhets- og samsvarskrav.

Verktøy 4: VCDM

VCDM står for Visma Cloud Delivery Model. Det er et helhetlig rammeverk og styringssystem som Visma bruker for å utvikle, levere og drifte alle sine skytjenester på en standardisert, sikker og effektiv måte.

Dette systemet sikrer konkrete tiltak som kryptering av all sensitiv data, streng dataseparasjon mellom kunder, og sikker pålogging med ID-porten.

Man kan se på VCDM som en omfattende kvalitets- og sikkerhetsstandard som alle Vismas skyprodukter må følge. Målet er å sikre at du som kunde får en tjeneste som ikke bare er funksjonell, men også svært sikker, stabil og i tråd med strenge regulatoriske krav.

Lookerstudio incidents fra august 2024 til august 2025

Hovedformålene med VCDM:

  1. Høy og enhetlig sikkerhet: VCDM er kjernen i Vismas sikkerhetsarbeid for skytjenester. Rammeverket har sikkerhet innebygd i alle ledd, fra utvikling til drift (ofte kalt SecDevOps). Dette inkluderer kontinuerlig overvåking, proaktiv trusselleting og strenge rutiner for hendelseshåndtering.
  2. Kvalitet og pålitelighet: Modellen standardiserer hvordan tjenester leveres og driftes. Dette sikrer en forutsigbar og stabil drift, minimerer risikoen for feil og garanterer at tjenestene alltid er tilgjengelige.
  3. Etterlevelse av lover og regler (Compliance): VCDM sørger for at tjenestene er i samsvar med internasjonale standarder og lovkrav, som for eksempel GDPR. Rammeverket er sertifisert etter anerkjente standarder som  ISO 27001 (informasjonssikkerhet) og ISO 9001 (kvalitetsstyring). I tillegg blir det jevnlig revidert av uavhengige tredjeparter (ISAE 3402 Type II-rapport), noe som gir en ekstern bekreftelse på at prosessene følges.

Hva ligger i ISO-sertifiseringene? 

  • ISO 9001 (Kvalitetsstyring): Sertifiseringen er et bevis på at vi har et system for å levere produkter og tjenester av høy kvalitet, hver eneste dag.

  • ISAE 3402 Type II-rapport: En uavhengig tredjepart kommer inn og ser oss i kortene over en lengre periode (typisk 6-12 måneder). De sjekker ikke bare at vi har en sikkerhetsrutine, men at vi faktisk utfører den i praksis.

Rapporten er en ekstern bekreftelse på at Vismas arbeid med sikkerhet ikke bare eksisterer på papiret, men at det etterleves i hverdagen.

Visma er klar for NIS2-direktivet 

I Norge innføres EU-direktivet gjennom den nye "Lov om digital sikkerhet", med frist for etterlevelse i oktober 2025.

NIS2 flytter cybersikkerhet fra IT-avdelingen og rett inn i styrerommet, og stiller strenge krav til systematisk sikkerhetsarbeid i hele samfunnet.

For en stor og sentral leverandør som Visma, er NIS2 kun en formalisering og skjerping av krav vi allerede jobber systematisk med. Våre program for sikkerhet dekker de fleste av de tekniske og organisatoriske kravene i NIS2, for eksempel gjennom VSP, VASP og SPIP, iso-sertifisering, kontroll på leverandørekjeden og styreansvar.

Enklere risikovurdering 

Visma vil være en solid partner som allerede har gjennomført en grundig sikkerhetsvurdering av hele den tekniske verdikjeden. Dette reduserer den administrative byrden for kundene våre og minimerer risikoen for angrep via en tredjepart.

Visma - Et trygt valg for neste anskaffelse

Når kundene våre evaluerer anbud, evaluerer de tillit. De ser etter en partner som kan levere bevis for sine påstander og som har systemer på plass for å håndtere det uforutsette.

Vismas digitale verktøykasse er bygget for nettopp dette. Vi tilbyr:

  • En dokumenterbar styringsmodell for applikasjonssikkerhet (VASP med SMI).
  • Dedikerte og betydelige ressurser i en spesialisert sikkerhetsorganisasjon.
  • En administrert og sikret leverandørkjede.
  • Radikal transparens med konkrete tall og resultater.

Vi er klare til å demonstrere hvordan vårt sikkerhetsrammeverk kan møte hvert enkelt krav i deres spesifikasjon, og gi dere den forutsigbarheten og tryggheten som kreves av en leverandør til offentlig sektor.

 

Recent Posts



 

Categories

Liknende artikler