IT-sikkerhet i systemene dine
Når du kjøper en skytjeneste, er det leverandøren av systemet som står for systemets IT-sikkerhet. Derfor er det viktig å velge en systemleverandør som har gode sikkerhetsrutiner for hvordan dataene dine behandles. Du kan se, høre og lese mer om hvordan Visma Software jobber med IT-sikkerhet i våre systemer under, eller lese mer på Visma Trust Centre her.
Slik velger du riktig skyleverandør
Sikkerhetstjenester handler om å minimere risiko for digitale angrep.
Størst er ikke alltid best, men når det gjelder IT-sikkerhet vil en sertifisert aktør være beste alternativ for å sikre at du får spesialisert kompetanse og tilgang til erfarne og dedikerte IT-ressurser. Samtidig får du sikkerhetsoppdateringer og andre programvareoppdateringer som en del av leveransen.
Fra min side var det aldri oppe til vurdering å gå for en billigere ERP-løsning fra en mindre anerkjent aktør som ikke har de samme bakapparatene når det kommer til IT-sikkerhet.
STEFFAN ANTONSEN
IT-sjef i Apotekerforeningen
Krev at leverandøren av skytjenesten:
- Har dedikerte team som kun jobber med å avdekke sårbarheter.
- Følger strenge retningslinjer og har systemer som fanger opp avvik.
- Utfører jevnlige sikkerhets- og programvareoppdateringer.
- Viser full åpenhet rundt hvordan de jobber med IT-sikkerhet.
- Hjelper kundene med å ta gode sikkerhetsmessige valg.
Et smart sted å begynne når du skal kjøpe en skytjeneste, er å gjøre en risikovurdering av aktøren og den tjenesten leverandøren tilbyr.
Hvorfor er Visma Software en sikker aktør?
Visma Software har en omfattende leveringsmodell for styringssystem for informasjonssikkerhet ved navn Visma Cloud Delivery Model (VCDM). Modellen er spesielt tilpasset skytjenester.
Kvalitetssystemet er sertifisert etter ISO 9001, og sikkerhetsstyringssystemet er sertifisert etter ISO 27001.
VCDMs sertifiseringer betyr rett og slett at leveransemodellen har et informasjonssikkerhetssystem som er bygd på internasjonale anerkjente standarder. ISO 27001 oppfyller krav for å etablere, implementere og vedlikeholde et styringssystem for informasjonssikkerhet. I tillegg revideres Visma Softwares evne til å etterleve informasjonssikkerhetsstyrings- og kvalitetssystemet i VCDM av et uavhengig revisjonsselskap, i henhold til ISAE 3402. Denne omfattende kontrollen utføres også årlig, og er oppsummert i en rapport av typen ISAE 3402, type 2.
Rapporten er tilgjengelig for alle våre kunder, og er tilgjengelig på forespørsel til kundesenteret@visma.no. I Visma Trust Centre finner du mer informasjon om blant annet sikkerhet og personvern.
Hvilke tiltak gjør Visma Software for å ivareta IT-sikkerheten i systemene?
I likhet med mange store selskaper verden over, som Google og Amazon, har Visma Software også åpnet opp for at dyktige hackere rundt om i verden kan utfordre programvare og systemer. Når de etiske hackerne oppdager sårbarhet, må de rapportere dette gjennom Vismas Bug bounty-program. Visma Software forplikter seg til å fikse sårbarhetene hackerne eventuelt avdekker.
Les mer: Bug bounty-hackere er etiske hackere som styrker IT-sikkerheten i systemene.
Kryptering er en effektiv mekanisme for å hindre at data kan misbrukes hvis de havner i feil besittelse. Dataene vil da være uleselige, og krypteringsnøkler er laget et separat og trygt sted som kun Visma Software har tilgang til. Det skilles gjerne mellom kryptering i transport (in transit) og kryptering ved lagring (at rest) Videre kan kryptering ved lagring ytterligere spesifiseres for spesielt interesserte.
Alle Visma Softwares skytjenester benytter https: med TLS for sikring av data i transport. Ved lagring og back up, benyttes forskjellige metoder. Persondata er alltid kryptert, også ved lagring. Krypteringen mellom nettleseren og våre skytjenester hindrer hackere i å kunne lytte på linjen. Skulle hackere eller innside-trussel klare å få uautorisert tilgang til kundedata, så vil de også oppleve at dataene er kryptert der de er lagret, og uleselige uten å ha riktige nøkler.
Visma Software jobber også kontinuerlig med sårbarhetsanalyser, penetrasjonstester og automatisk kodescanning.
Vi har selv opplevd dataangrep
Vi har selv opplevd dataangrep
Noe av det som har gjort oss sterkere i møtet med potensielle dataangrep, er også det faktum at vi selv opplevde å bli hacket. Angrepet var en liten del av en stor, kinesisk hackingkampanje.
Kampanjens mål var å stjele forretningshemmeligheter og immateriell eiendom verden over.
Hackerne fikk tilgang på innloggingsinformasjon til Visma-systemet. Passordene ble brukt til å komme inn i vårt Citrix-system, der de forsøkte å hente ut ytterligere passord, som de kunne bruke til å komme inn i systemene til Vismas kunder. Analysen fra sikkerhetsselskapet Recorded Future, indikerer at angriperne var i et tidlig stadium da de ble stoppet, og at et kraftigere dataangrep var i vente.
Les mer: – Derfor var det både riktig og viktig for oss å gå ut offentlig om hendelsen.
Slik fungerer IT-sikkerheten i Visma Softwares systemer
ERP-system
Business NXT og Visma Net, er eksempler på ERP-systemer som har et styringssystem for informasjonssikkerhet, som betyr at systemet ditt alltid er oppdatert, tilgjengelig og trygg. Her sørger nettopp Visma Softwares leveransemodell, VCDM (Visma Cloud Delivery Model) for dette.
Du kan lese mer om hvordan leveransemodellen ivaretar systemenes IT-sikkerhet her.
Sikkerheten i skyen er god, og vi i SR Group er trygge på at vår data og informasjon er ivaretatt, og mye bedre beskyttet i skyen, enn på en server. Vi gleder oss til å skru av noen servere.
Roy Kristensen
Assisterende konsernsjef i SR Group
Vi ønsker å kunne slå av serverparken i kjelleren. Den begynner å bli utdatert.
Marit Tillerås Schie
Regnskapssjef i Askim Entreprenør
Vi merker at vi har kunnet senke skuldrene betydelig når det kommer til datasikkerheten vår. Det er godt å vite at det er tatt hånd om av leverandøren.
Eva Karoliussen
Administrasjonssjef i MBA Entreprenør AS
Lønnssystem som sikrer bedriftens personopplysninger
Alle bedrifter har et ansvar for å sikre at de skytjenestene de benytter, oppfyller bestemte krav. Dette gjelder spesielt skytjenester som behandler persondata, som for eksempel et lønnssystem.
Visma-konsernet har egne selskaper og team som spesialiserer seg på relevant lovgivning og regelverk for leveranse av våre skytjenester. For eksempel jurister som jobber med personvernlovgivning, eksperter på finansiell rapportering, skatt og mva, og flere som jobber inn mot lønnsfaget relatert til arbeidsmiljøvernloven og skattemyndigheter. I Norge finnes det en rekke lover og regler som bestemmer hvordan lønn, avgifter og skatter skal beregnes.
Visma Software jobber tett med Skatteetaten og andre instanser for å hele tiden ligge i forkant og fortløpende oppdatere det skybaserte lønnssystemet Payroll i henhold til disse.
Les mer: Slik sikres personvernet i lønnssystemet Payroll.
Lønnssystemet Payroll oppfyller blant annet GDPRs krav om:
- Tilgangskontroll som sørger for at informasjonen kun er tilgjengelig for de som har rettigheter til å lese eller endre den.
- Integritetskontroll som sikrer sikker lagring av elektronisk journal.
- Sikring og gjenoppretting av dataenes tilgjengelighet.
Payroll vil verken gi eller be om mer persondata enn det som er helt nødvendig. Det er for eksempel ikke nødvendig å vise en ansatts personnummer for at en leder skal kunne godkjenne et utlegg eller en timeliste.
Bli kjent med det skybaserte lønnssystemet her.
Hvilket sikkerhetsansvar har du selv?
Alle bedriftsledere bør som minimum sørge for at alle ansatte har grunnleggende kompetanse innen IT-sikkerhet. Hackerne finner stadig nye veier inn i systemene dine, enten du er en liten, mellomstor eller stor bedrift.
Det dukker opp flere eksempler på at trusselaktører krever løsepenger som betaling for å gi bedriftenes data tilbake hele tiden. Dette er kun én av flere angrepsmetoder. Det betyr at du må forebygge samtidig som du gjør deg forberedt på potensielle digitale angrep. Hva er planen din den dagen dere blir rammet? Alle i bedriften trenger ikke å forstå alt, men alle trenger å forstå det grunnleggende, som for eksempel gode passordrutiner.
God sikkerhetskultur kommer ikke av seg selv, men den kan saktens etableres!
Sjekkliste IT-sikkerhet: Dette kan du som bedriftsleder gjøre i bedriften din.
Du kan skape en god sikkerhetskultur i bedriften ved å blant annet:
- Ha opplæring om passord-manager.
- Sørge for kunnskap om 2-faktor-autentisering
- Etablere intern kunnskap om phishing-angrep.
- Skape et bevisst forhold til data backup.
Hva er tofaktorautentisering?
Visste du at menneskelige feil, som for eksempel å trykke på usikre lenker i e-poster, fortsatt utgjør en stor del av årsaken til digitale angrep i norske bedrifter?
Ikke glem de små og enkle tiltakene du selv kan gjøre. Tofaktorautentisering sikrer for eksempel bedriftens systemer hvis ansatte trykker på usikre lenker.
Les mer om tofaktorautentisering her.
Se alle sikkerhetsartikler
