Tjänster

OBEROENDE GRANSKNING

Oberoende granskning är till för de organisationer som behöver en opartisk granskning av sin nuvarande informationssäkerhet. Hotbilden förändras ständigt och er utmaning är att säkerställa att ni och era underleverantörer alltid hänger med i cybersäkerhetssvängarna.

Secure State Cyber erbjuder granskningstjänster, både utifrån rollen som oberoende granskningsfunktion eller som angripare.

Exempel på tjänster för oberoende granskning:

IT-REVISION

Gör IT-avdelning, underleverantörer och olika externa tjänster verkligen det de säger sig göra? För att kontrollera detta erbjuder vi ett team av certifierade, oberoende experter inom både internrevision och IT-revision. Vid en IT-revision går en oberoende granskare igenom ett system eller ett projekt och bedömer hur efterlevnaden av ett visst regelverk ser ut. Det kan till exempel gälla efterlevnad av interna regler och policys eller en formell granskning av en specifik standard eller externa krav.

All granskning utgår från väldefinierade kriterier som bestäms tillsammans med kunden. En IT-revision ger beslutsunderlag till organisationens ledning kring riskhantering och regelefterlevnad, inklusive tydliga beskrivningar av identifierade avvikelser och förbättringsmöjligheter för det granskade området.

Revisionens syfte är att granska och ge råd kring styrning, riskhantering och kontroll av verksamheten för organisationens ledning eller styrelse. Vanliga arbetsområden för internrevision och IT-revision är:

  • Utvärdering av projekt och verksamheter
  • Bedömning av IT-styrning (governance), risker, införda kontrollers kvalitet och effektivitet samt regelefterlevnad (compliance)
  • Säkerställande av att befintliga kontroller är tillräckliga för att minska de risker som organisationen möter
  • Utvärdering av omvärldsfrågor och framväxande teknologier
  • Analys av möjligheter och förbättringspotential

Vi genomför IT-revisioner av system och granskningar av organisationer för att identifiera avvikelser och förbättringsmöjligheter för en säkrare och mer effektiv verksamhet. Secure State Cyber är oberoende och arbetar enligt god revisionssed för att hjälpa organisationer att skapa värde och förbättra verksamheten. Fler av våra revisorer är CISA-certifierade och har flera års erfarenhet inom revisionsområdet.

Granskningsuppdrag som utförs av Secure State Cyber utgår alltid från internationellt erkända standarder inom IT, informationssäkerhet och kvalitet såsom IIA:s riktlinjer för revision, COBIT, ISO 27000-serien, ITIL och ISO 9001.

PENETRATIONSTEST

Håller systemet och dess säkerhetsfunktioner måttet i ett skarpt läge? Genom att låta en teknisk expert spela rollen som angripare i scenariot av ett penetrationstest verifieras systemets motståndskraft mot intrång och manipulation. Penetrationstestet kvalitetssäkrar systemets design och konfiguration samtidigt som det stärker tilliten till systemets säkerhetslösningar. 

SÅRBARHETSSKANNING

Sårbarhetsskanning är en kontroll där man med hjälp av automatiserade verktyg identifierar sårbarheter i system och mjukvaror vad gäller t.ex. uppdateringar, patchnivåer och förekomsten av standardlösenord som kan finnas kvar i systemet efter ny- och ominstallationer. Kontrollen kan genomföras med återkommande tidsintervaller eller som engångsinsats för att identifiera sårbarheter som kan utnyttjas av en angripare. I våra sårbarhetsskanningar kvalitetssäkras alltid de identifierade sårbarheterna med manuell analys för att utesluta felaktiga utslag. 

APPLIKATIONGRANSKNING

Applikationsgranskning innebär att testa en applikation eller webbsida för att identifiera sårbarheter som en angripare kan utnyttja för att göra intrång. Granskningen kan både göras automatiskt och manuellt. Våra applikationsgranskningar utgår ifrån och mappas mot OWASP Top 10 som innehåller de vanligaste och mest rapporterade sårbarheterna i webbapplikationer.

Samtliga våra tekniska säkerhetsgranskningar resulterar i utförliga rapporter över iakttagelser med prioriteringar och förslag på hantering för att på bästa sätt hantera de sårbarheter som upptäckts.

LEDNINGSGENOMGÅNG

Återkommande genomgångar av aktuell säkerhetsnivå i organisationen är ett krav för organisationer med ledningssystem för kvalitet och informationssäkerhet. Vi ger som oberoende part verksamhetsledningen underlag för att hålla sig informerad, styra och följa upp aktiviteter och åtgärder så att planerade säkerhetsåtgärder faktiskt införs och är anpassade för verksamhetens behov. Vi informerar också ledningen om aktuell säkerhetsnivå i förhållande till de risker och krav som finns för verksamheten. 

TESTHANTERING

Löpande uppdateringar och förbättringar av system inkluderar ofta implementering av ny maskinvara och programvara tillsammans med etablerandet av nya rutiner. I syfte att skydda dessa nya installationer erbjuder vi erfarna testledare med stort säkerhetsfokus. Vi leder, planerar och utför tester av specifika system och kontrollerar om de uppfyller de förutbestämda kraven.