Cyber Säkerhet | Analys | Konsult
DIN INFORMATIONSSÄKERHETSSPECIALIST

IT-Säkerhet
COOLWAVE AB

Coolwave AB är idag ett kombinerat managementkonsultbolag och nätverk av informationssäkerhetskonsulter. Bolaget har ett nätverk av fristående konsulter som har bred erfarenhet från industriellt management men också teknikkonsulter med specialistkunskap inom olika segment.

Läs mer om:

Vi använder Cyber security lite slarvigt om allting som ett slags övergripande ”catchigt” uttryck för allt som har med säkerhet i det moderna elektroniska samhället att göra. Men vi är betydligt mer nogrranna med att hålla isär begreppen ”IT-Säkerhet” och ”Informationssäkerhet”, för där är det viktigt att förstå skillnaden. Här följer lite viktiga definitioner och länkar som kan vara nyttigt, om man är intresserad av informationssäkerhet
Många blandar ihop IT-Säkerhet och Informationssäkerhet. Vi arbetar med båda! Informationssäkerhet (eller InfoSäk) handlar om att skydda den information som har ett ”värde” som är värt att skydda. Därför börjar alla Informationssäkerhetsprojekt med att man inventerar vilka informationstillgångar man har. Sedan bör man klassificera och värdera dessa tillgångar, så att man kan bestämma vilka tillgångar som är viktigast att skydda. När man värderar tillgångar vill man helst ha en rimlig monetär värdering, eftersom det ger bästa möjlighet att bestämma hur mycket skyddet av tillgången får kosta. Men det finns också enklare värderingsmodeller som underlättar arbetet. När man inventerar sina informationstillgångar gäller det att verkligen fokusera på ”information” och inte på hårdvaruenheter och system. Vi skiljer på de primära informationstillgångarna som i sig är det vi skall skydda och de sekundära tillgångarna som oftast utgör stödsystem såsom hårdvara, mjukvara och system som används för att behnadla den primära informationen. För att klassificera informationstillgångar behöver man bestämma sig för ett klassningssystem, ett slags regelverk som definierar hur man skiljer på olika information i ett skyddperspektiv och hur man skall hantera information av olika sekretessgrad, hur den skall märkas och vad som är tillåtet och förbjudet i hanterinen av respektive sekretessnivå. När väl infomrationen är inventerad, kategoriserad, värderad, klassad och märkt kan man börja prioritera och börja med sin Riskanalys. Denna korta beskrivning är inte tänkt att deskriva all delar i detalj, men ge en insikt i vad som behöver göras innan man kan bestämma hur man skall bygga upp sin Informationssäkerhet. Allt bygger på en solid Riskanalys som förutsätter ett systematiskt arbete med att kartlägga sina tillgångar, sårbarheter, hot och därmed risker för att sedan bestämma vilka säkerhetsåtgärder man skall införa för att åstadkomma bästa möjliga skydd på de ställen som utgör det största hotet. Modern informationssäkerhet bygger på att man fokuserar på de informationstillgångar som man har och bestämmer vad som är viktigt att skydda i tre olika aspekter: Sekretess, Integritet och Tillgänglighet. Att införa informationssäkerhet är en sak, men att säkerställa att hela organisationen utbildas och tillämpar säkerhetsåtgärderna och att man kan mäta och se att informationssäkerheten verkligen förbättras kontinuerligt över tid är det viktigaste målet om man vill certifiera sin informationssäkerhet.

IT-Säkerheten fokuserar på den tekniska säkerheten i IT-system. Generellt brukar man prata om tre olika tillstånd, lagring, transmission och behandling av data.

I ett kommunikationsperspektiv, delar man in kommunikationssystem i sju olika nivåer enligt den så kallade OSI-Modellen där man nederst har det fysiska skiktet (Nivå 1, modem, kablar och enheter som skapar den fysiska förbindelse). Lager på lager byggs på enligt följande Nivå 2: Länknivå, dvs en förbindelse mellan två punkter. Nivå 3 är Nätverksnivå där man bygger nät av olika länkar. Det är på denna nivå som de flesta nätverksroutrar fungerar. Vi går inte in på mer detaljer här, det finns utmärkt information på Wikipedia och i läroböcker, men den högsta nivån, Nivå 7 kallas Applikationslagret. Det handlar om de applikationer och appar som vi alla dagligdags använder. eMail-säkerhet är ett bra exempel som oftast implementeras på Applikationesnivån och ger därmed så kallad End-2-End-Säkerhet. Det finns alltså en hierarki i 7 nivåer, där IT-Säkerheten erbjuder olika specialanpassade lösningar för varje enskild nivå. Det finns olika typer av brandväggar som arbetar på både nätverks och länknivån, men också på applikationsnivån. Det finns virusskydd som arbetar på olika nivåer.

Vi har både nätverkstekniker, applikationsspecialister och tekniska säkerhetskonsulter som klarar av att lösa era IT-säkerhetsutmaningar.

ISO27001:2005 antogs som den första internationella standarden inom informationssäkerhet 2005. Den första versionen byggde mycket på den Britiska standarden BS7799 som utvecklats sedan mitten på 1990-talet. År 2013 kom det ut en uppdaterad version och 2017 kom den version som vi arbetar efter idag. I Sverige växer intresset stort för ISO 27001 och i och med att över 90% av alla svenska företag med mer än 50 anställda redan har ledningssystem för kvalitet (ISO9001) samt Miljö och Hållbarhet (ISO14001) blir det logiskt att man väljer en infosäk-standard som harmonierar med det man redan har. Hela standarden är uppbyggd med samma struktur enligt Kap 4 – 10 i standarden. Vi hjälper dig med implementering av standarden. Vi har också en hel del kunskap om certifiering och förberedelser, men i själva certifieringsprocessen, står vi på din sida. Det finns accrediterade certifieringsinstitut som genomför certifieringsrevisionen.

Under 2018 röstade Sveriges Riksdag igenom det nya Nationella Informationssäkerhetsdirektivet (NIS) som gäller för alla som bedriver säkerhetskänslig verksamhet, till exempel handhar kritisk infrastruktur i Sverige. I förlängingen betyder det att alla projekt och leverantörer som ”levererar” till ”säkerhetskänslig verksamhet” berörs av denna nya lagstiftning. Det bygger på den Europeiska förordningen EU 2016/1148 som nu har omsatts i svensk lagstiftning och gäller från och med 1 Augusti 2018 (SFS 2018:585/658). I praktiken innebär det här att tekniska och organisatoriska säkerhetsåtgärder måste införas och att säkerhetskyddsincidenter ska rapporteras till tillsynsmyndighet. En tillsynsmyndighet för varje sektor kommer att ansvara för att regelverket följs och de kommer även att ha behörighet att besluta om sanktioner och viten. Sanktionsavgiften varierar mellan 5000 Kr och upp till 10 MSEK och kan drabba ett bolag som inte följer lagen.

Till skillnad från ISO/IEC27001 är Common criteria, eller bara CC, en säkerhetstandard som fokuserar på produkter och system. FMV (Försvarets Matrielverk) är certifieringsorgan i Svergige för IT-Säkerhet enligt CC-standarden.

Den europeiska dataskyddsförordningen som trädde ikraft i hela Europa i Maj 2018 kan inte ha undgått många personer och organisationer. Från stora företag till små ideelea organisationer har tvingats konfronteras med konsekvenserna i sin egen verksamhet. GDPR ersätter den svenska Personuppgiftslagen (PUL) som gällt i Sverige sedan 1990-talet. Den stora skillnaden är att individens rätt till integritet har stärkts betydligt och vitesbeloppet vid överträdelser har blivit betydade och därmed har man lyckats göra GDPR-förordningen allt annat än tandlös. De flesta organisationer har redan infört nödvändiga rutiner och register samt utbildat och tillsatt ansvariga för att man skall ha lagstadgad kontroll över hur man hanterar personuppgifter.

Det finns dock goda skäl att se över sin GDPR-Implementation. Vi hjälper er att undersöka status på hur er styrdokumentation, rutiner och hanteringsprocesser samt personalens kunskaper står sig mot gällande förordning.

Copyright 2024 © All rights Reserved. Hemsida Webbdesign Interwebsite Webbyrå