IT-sikkerhet i de skybaserte systemene dine

Sikkerhetstjenester handler om å minimere risiko for digitale angrep.

Størst er ikke alltid best, men når det gjelder IT-sikkerhet vil en sertifisert aktør være beste alternativ for å sikre at du får spesialisert kompetanse og tilgang til erfarne og dedikerte IT-ressurser. Samtidig får du sikkerhetsoppdateringer og andre programvareoppdateringer som en del av leveransen.

Visma Software har en omfattende leveringsmodell for styringssystem for informasjonssikkerhet ved navn Visma Cloud Delivery Model (VCDM). Modellen er spesielt tilpasset skytjenester.

Kvalitetssystemet er sertifisert etter ISO 9001, og sikkerhetsstyringssystemet er sertifisert etter ISO 27001.

VCDMs sertifiseringer betyr rett og slett at leveransemodellen har et informasjonssikkerhetssystem som er bygd på internasjonale anerkjente standarder. ISO 27001 oppfyller krav for å etablere, implementere og vedlikeholde et styringssystem for informasjonssikkerhet. I tillegg revideres Visma Softwares evne til å etterleve informasjonssikkerhetsstyrings- og kvalitetssystemet i VCDM av et uavhengig revisjonsselskap, i henhold til ISAE 3402. Denne omfattende kontrollen utføres også årlig, og er oppsummert i en rapport av typen ISAE 3402, type 2. 

Rapporten er tilgjengelig for alle våre kunder, og er tilgjengelig på forespørsel til kundesenteret@visma.no. I Visma Trust Centre finner du mer informasjon om blant annet sikkerhet og personvern.

Les mer på Visma Trust Centre her.

I likhet med mange store selskaper verden over, som Google og Amazon, har Visma Software også åpnet opp for at dyktige hackere rundt om i verden kan utfordre programvare og systemer. Når de etiske hackerne oppdager sårbarhet, må de rapportere dette gjennom Vismas Bug bounty-program. Visma Software forplikter seg til å fikse sårbarhetene hackerne eventuelt avdekker.
‍
Les mer: Bug bounty-hackere er etiske hackere som styrker IT-sikkerheten i systemene.

Kryptering er en effektiv mekanisme for å hindre at data kan misbrukes hvis de havner i feil besittelse. Dataene vil da være uleselige, og krypteringsnøkler er laget et separat og trygt sted som kun Visma Software har tilgang til. Det skilles gjerne mellom kryptering i transport (in transit) og kryptering ved lagring (at rest) Videre kan kryptering ved lagring ytterligere spesifiseres for spesielt interesserte. 

Alle Visma Softwares skytjenester benytter https: med TLS for sikring av data i transport. Ved lagring og back up, benyttes forskjellige metoder. Persondata er alltid kryptert, også ved lagring. Krypteringen mellom nettleseren og våre skytjenester hindrer hackere i å kunne lytte på linjen. Skulle hackere eller innside-trussel klare å få uautorisert tilgang til kundedata, så vil de også oppleve at dataene er kryptert der de er lagret, og uleselige uten å ha riktige nøkler.

Visma Software jobber også kontinuerlig med sårbarhetsanalyser, penetrasjonstester og automatisk kodescanning.

Vi har selv opplevd dataangrep
Noe av det som har gjort oss sterkere i møtet med potensielle dataangrep, er også det faktum at vi selv opplevde å bli hacket. Angrepet var en liten del av en stor, kinesisk hackingkampanje.

Kampanjens mål var å stjele forretningshemmeligheter og immateriell eiendom verden over. 

Hackerne fikk tilgang på innloggingsinformasjon til Visma-systemet. Passordene ble brukt til å komme inn i vårt Citrix-system, der de forsøkte å hente ut ytterligere passord, som de kunne bruke til å komme inn i systemene til Vismas kunder. Analysen fra sikkerhetsselskapet Recorded Future, indikerer at angriperne var i et tidlig stadium da de ble stoppet, og at et kraftigere dataangrep var i vente.

Les mer: – Derfor var det både riktig og viktig for oss å gå ut offentlig om hendelsen.

ERP-system
Business NXT og Visma Net, er eksempler på ERP-systemer som har et styringssystem for informasjonssikkerhet, som betyr at systemet ditt alltid er oppdatert, tilgjengelig og trygg. Her sørger nettopp Visma Softwares leveransemodell, VCDM (Visma Cloud Delivery Model) for dette. ‍

Du kan lese mer om hvordan leveransemodellen ivaretar systemenes IT-sikkerhet her.

Les mer om ERP-systemene her.

Alle bedrifter har et ansvar for å sikre at de skytjenestene de benytter, oppfyller bestemte krav. Dette gjelder spesielt skytjenester som behandler persondata, som for eksempel et lønnssystem.

Visma-konsernet har egne selskaper og team som spesialiserer seg på relevant lovgivning og regelverk for leveranse av våre skytjenester. For eksempel jurister som jobber med personvernlovgivning, eksperter på finansiell rapportering, skatt og mva, og flere som jobber inn mot lønnsfaget relatert til arbeidsmiljøvernloven og skattemyndigheter. I Norge finnes det en rekke lover og regler som bestemmer hvordan lønn, avgifter og skatter skal beregnes.

Visma Software jobber tett med Skatteetaten og andre instanser for å hele tiden ligge i forkant og fortløpende oppdatere det skybaserte lønnssystemet Payroll i henhold til disse.
‍
Les mer: Slik sikres personvernet i lønnssystemet Payroll.

Alle bedriftsledere bør som minimum sørge for at alle ansatte har grunnleggende kompetanse innen IT-sikkerhet. Hackerne finner stadig nye veier inn i systemene dine, enten du er en liten, mellomstor eller stor bedrift.

Det dukker opp flere eksempler på at trusselaktører krever løsepenger som betaling for å gi bedriftenes data tilbake hele tiden. Dette er kun én av flere angrepsmetoder. Det betyr at du må forebygge samtidig som du gjør deg forberedt på potensielle digitale angrep. Hva er planen din den dagen dere blir rammet? Alle i bedriften trenger ikke å forstå alt, men alle trenger å forstå det grunnleggende, som for eksempel gode passordrutiner.

God sikkerhetskultur kommer ikke av seg selv, men den kan saktens etableres!

Sjekkliste IT-sikkerhet: Dette kan du som bedriftsleder gjøre i bedriften din.