Veriscan nyheter

om informationssäkerhet

Veriscan en av utställarna i Göteborg

Sveriges främsta experter gav tips med anledning av GDPR vid konferensen ”SIS Rätt säkerhet” som anordnades den 7 november, denna gång i Göteborg.

Framförallt är ISO 27001 ett stöd vid uppfyllandet av GDPR som tillsammans med andra standarder inom ISO 27000-serien används för att förenkla uppfyllandet av GDPR.

En av talarna var Hans Hedbom, Karlstads universitet, universitetsadjunkt, forskare och även ordförande i TK318/AG51, ISO:s arbetsgrupp för identitetshantering och personlig integritet. Hans talade på temat: Vaddå personuppgifter? Personlig integritet, PUL och GDPR - hur hänger allt ihop? Hans Hedbom ingår dessutom som konsult vid Veriscan Security sedan många år.

Veriscan Security var en av utställarna och intresset för våra tjänster var stort. Förutom omkring vår kunskap inom GDPR och informationssäkerhet ställdes många frågor kring produkterna Veriscan vIC (verktyg för konsekvensbedömning och klassning) samt Veriscan vRISK (verktyg för riskhantering).

För mer information se:

Veriscan White paper 1 om GDPR och LIS

Veriscan White paper 2 - Veriscan Solutions GDPR

Veriscan vRISK

Veriscan vIC

GDPR - General Data Protection Regulation, DSF - Dataskyddsförordningen, LIS - Ledningssystem för informationssäkerhet

Veriscan och nästa ISO möte om ISO 27000 serien i Berlin

Veriscan deltar vid nästa internationella standardiseringsmöte i Berlin 30:e oktober till 3:e november.

Mötet kommer lägga de sista riktlinjerna för framtida revisionen av ISO/IEC 27002 som är vägledningen för de 114 säkerhetsåtgärderna som finns i bilaga A i kravstandarden för ett Ledningssystem för Informationssäkerhet (LIS enligt ISO/IEC 27001). Jan Branzell, Veriscan, är en av tre internationella rapportörer som håller i grundplaneringen för revisionen och informationssäkerhetsområdet, områden inom både cyber security, privacy och IoT kommer säkerligen att finnas med.

I övrigt så kommer mötet att handla mycket kring Internet of Things (IoT) samt privacy (bland annat med anledning av GDPR). De nya standarderna kring privacy, ISO/IEC 29134 om privacy impact assessment (PIA) och 29152 om privacy controls, finns redan klara som bra stöd till GDPR men man kanske kan göra mer?

Det är ca 275 deltagare från hela världen som deltar på mötet, fördelade på fem arbetsgrupper. Från Sverige består delegationen från SIS TK318 av 5 deltagare som kommer att vara aktiva i stort sett alla de fem arbetsgrupperna.

vRISK 2.5 närmar sig release

Hösten 2015 började Veriscan lansera Veriscan vRISK ett riskhanteringsverktyg. Utveckling har skett i samarbete med större kunder och en vidareutveckling har också skett av verktyget för att tillgodose önskemål från olika kunder.

Den 6 oktober sker release av ny version - Veriscan vRISK 2.5.

Den nya versionen är ännu mer användarvänlig, med exempelvis förbättrad avancerad sökfunktion och organisationsanpassad lösenordshantering.

För mer information se:

Veriscan vRISK

Veriscan stödjer upphandling av verksamhetssystem

Att arbeta strukturerat med informationssäkerhet ger god lönsamhet i längden. Särskilt viktigt blir detta vid frågor om inköp av system eller outsourcing.

Veriscan stödjer just nu en kommun med upphandlingsunderlag av verksamhetssystem. Systemet ska användas brett inom socialtjänsten för verksamhetsområdena vård- och omsorg samt individ- och familjeomsorg. Upphandlingen omfattar även drift av verksamhetssystemet. 10 kommuner kommer att gå ihop och använda sig av samma system, är det tänkt.

De standarder som finns inom ISO 27000 serien täcker in mycket av säkerhetskrav och lösningar, men att sedan applicera lämpliga krav vid exempelvis avtal om tjänster eller resurser är inte alltid helt enkelt. Veriscan ser till att kravställningen blev mer detaljerad för de tekniska och organisatoriska kraven på leverantören av systemet.

Veriscan vIC och Veriscan vRISK kompletterar varandra

Veriscan vIC som stödjer värdering och visualisering av informationstillgångar har visats allt större intresse bland olika organisationer. Detta i takt med att fler inser att det inte är så smart att ha ett register med värdering av viss information och en helt annan registerform för värdering av information som är personuppgifter.

Verktyget för praktisk riskhantering Veriscan vRISK, som är mer generellt för olika typer av risker, tittar man gärna på samtidigt då båda verktygen gemensamt stödjer ”DPIA/PIA” hanteringen enligt GDPR.

Flera organisationer tecknar nu avtal för båda verktygen. Därutöver deltar Veriscan i ett antal workshops och i våra kunduppdrag effektiviseras arbetet betydligt med användandet av Veriscans verktyg, vIC och vRISK vilket gör att kunden kan utvärdera verktygen under uppdragets gång (Proof of Concept, POC) för att sedan ha möjlighet att fortsätta arbeta med att ha koll på sin information även efter 25 maj 2018.

För mer information se:

Veriscan White paper 1 om GDPR och LIS

Veriscan White paper 2 - Veriscan Solutions GDPR

Veriscan vRISK

Veriscan vIC

GDPR - General Data Protection Regulation, DSF - Dataskyddsförordningen, LIS - Ledningssystem för informationssäkerhet

Orderutvecklingen intressant under sommaren

Sommaren brukar vara en lugnare period när det gäller beställningar inom cyber- och informationssäkerhet, men denna sommar är ett undantag. Det har skett ett ökat intresse av att arbeta enligt ISO 27000 serien med stöd av Veriscan ISM och prestandamätningar med Veriscan Rating. Antalet förfrågningar kring att certifiera sig baserat på ISO/IEC 27001 har också ökat.

GDPR (Svenska Dataskyddsförordningen) är givetvis en faktor som varit pådrivande. Man skulle kunna tro att det är händelsen vid Transportstyrelsen som har varit bidragande, men de flesta beställningarna kom in innan den historien briserade i alla nyhetskanaler.

Anledningen till trycket under sommaren även för Veriscan är dels kraven i GDPR där flera befintliga kunder har en hög mognadsgrad vilket för dem innebär att dessa krav enklare kan integreras i det befintliga ledningssystemet för informationssäkerhet, LIS, dels att nya kunder söker ett strukturerat arbetssätt att arbeta med informationssäkerhet som ett led i den ökade digitaliseringen. Nyttan med säkerhet har blivit tydligare och det är ju klart att ”Transportgate” gjort ledningsansvaret och behovet av ett bra stöd till ledningen vad det gäller cyber- och informationssäkerhet ännu tydligare.

Rätt Säkerhet 17 maj i Stockholm

SIS arrangerar även i år SIS Rätt Säkerhet, konferensen med det senaste inom informationssäkerhet.

GDPR är på allas läppar. Årets konferens om informationssäkerhet fokuserar på GDPR och molntjänster samt hur standarder kan förenkla och stötta. Dagen innehåller givetvis massor av kunskap, erfarenheter och praktiska tips inom informationssäkerhetsområdet.

Möt oss gärna på Veriscan då vi är en av utställarna!

Konferensen hålls 17 maj på SIS Conference Centre. - Se mer om konferensen på www.sis.se

Veriscan visar verktyg för informationsklassning

Veriscan deltar som utställare på Forum Öppen data 2017 som arrangeras av IIS (Internetstiftelsen i Sverige) 11 maj 2017. Veriscan kommer i sin monter att visa upp Veriscan vIC™ som är ett unikt mjukvarustöd som effektiviserar och förenklar arbetet med informationsklassning.

Forum Öppna Data är kostnadsfritt. Plats: Internetstiftelsen nya kontor, Hammarby Kaj 10D plan 5

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

Hantering av öppen data - demo av Veriscan vIC™

Veriscan har deltagit i eftermiddagsseminarium om Öppen Data (PSI) tillsammans med Redpill Linpro och Metadata solutions.

Vid seminariet presenterade Veriscan det första steget mot hantering av öppen data. Veriscan beskrev hur man kan arbeta med att klassa sin information och därmed bli trygg i vad som kan tillgängliggöras i enlighet med PSI-direktivet.

Veriscan genomförde också en demo av Veriscan vIC™, ett unikt mjukvarustöd som förenklar och effektiviserar arbetet med informationsklassificering.

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

Fortsatt stöd med införande av informationssäkerhet

Avtal nu tecknat där Veriscan fortsätter sitt stöd med åtgärder inom informationssäkerhet. Veriscan har tidigare gjort en gapanalys hos kunden, Veriscan Basic+. Samt arbetat fram en handlingsplan för det fortsatta arbetet med LIS-införande. Kunden har under en längre tid arbetat med informationssäkerhet och ser stödet som en viktig del i det strukturerade arbetet med informationssäkerhet.

Veriscan stödjer idag kunden med organisationsstruktur för informationssäkerhet, incidenthantering, informationsklassning inklusive GDPR samt säkerhetsåtgärder.

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

Veriscan hjälper kund med klassificering av personuppgifter

Elbolag anlitar Veriscan för arbetet med att följa den nya dataskyddsförordningen (GDPR). Uppdraget innebär att stegvis stödja kunden i arbetet med att efterleva GDPR. I uppdraget använder Veriscan bland annat verktygen Veriscan vIC™ och Veriscan vRISK™.

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

I uppdraget används Veriscan vIC™

Myndighet väljer Veriscan och Veriscan vIC™ för att få bättre kontroll över sin information och dess värde (informationsklassificering). Klassificering handlar ytterst om att identifiera och värdera tillgångar. Men för att kunna använda resultatet så krävs det också att man har ett register och kan identifiera ägare.

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

Veriscan presenterade White Paper om GDPR

Veriscan var 28:e mars värd för seminariet om nya dataskyddsförordningen (GDPR)*. Seminariet gav en överblick över GDPR och vad det innebär för organisationer som hanterar personuppgifter. Den nya EU förordningen kring skydd av persondata kräver att man identifierar och har kontroll på de personuppgifter som man hanterar, samt att man skyddar informationen på ett tillfredställande sätt.

För att stödja arbetet med GDPR presenterade Veriscan hur verksamheten kan anpassa sitt LIS inklusive säkerhetsåtgärder för personuppgifter. Förenklat så är grunden i GDPR aktiviteteten väldigt lika en klassificering. Man ska bedöma vad värdet är för individen och organisationen om hanteringen av personuppgifter brister ur informationssäkerhets- och ”privacy” perspektiv.

Veriscan ISMS erbjuder lösningar för informationssäkerhet med aktiviteter för att identifiera och bedöma information, utvärdera risker och välja säkerhetsåtgärder samt följa upp och förbättra skyddet.

Veriscan vIC är ett webbaserat verktyg specifikt framtaget för att stödja klassificering där IC står för Information Classification (eller Criticallity) och kan användas för att även skapa ett register med privacy data och tillika informationstillgångar enligt GDPR. Veriscan erbjuder även Veriscan vRISK även det ett webbaserat verktyg för att genomföra riskanalyser som då kan importera tillgångsregistret som skapats i Veriscan vIC. Verktyget underlättar långsiktigt hållbar riskhantering med stöd för beslut samt uppföljning av överenskomna riskåtgärder. Aggregerade sammanställningar av flera riskanalyser är en av flera användbara funktioner.

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

SSG har tagit beslut om att certifiera sin verksamhet mot ISO/IEC 27001

Veriscan har under en tid stöttat SSG inom informationssäkerhetsområdet och är en naturlig partner i arbetet mot certifieringen. Med ett certifikat kan kunder och samarbetspartner känna sig trygga i att nödvändiga åtgärder vidtas för att skydda känslig information. Certifiering enligt global standard är en kvalitetsstämpel som många organisationer och företag använder.

Ledningen ser verkligen nyttan av att strategiskt arbeta med informationssäkerhet och har verkligen gett sitt stöd till att kontinuerligt förbättra informationssäkerheten.

Vi vet att verksamheten prioriterar detta och vet att de ligger långt framme inom informationssäkerhet och vi ser med tillförsikt fram emot SSG:s certifiering, säger Lorentz Lundmark, Veriscan.

Vi använder vår modell Veriscan ISM för att stötta organisationer mot certifiering enligt ISO/IEC 27001 ledningssystem för informationssäkerhet. Veriscan ISM har ett antal metoder och verktyg som stödjer kundens arbete med informationssäkerhet enligt ISO 27000. En av de stora nyttorna med Veriscan ISM är att Veriscan utgör en samarbetspart och jobbar tillsammans med kunden med kortare avgränsande insatser under en längre tid. Detta gör att man tillsammans och kostnadseffektivt kan säkerställa att resultatet blir på det sätt som kunden behöver och att verksamhetsnyttan blir tydlig.

Mötet behandlar framtida revisioner av ISO 27000 serien

Veriscan deltar vid nästa internationella standardiseringsmöte i Hamilton på Nya Zealand 18-22 april.

Mötet kommer att bland annat ta upp en ev. framtida revision av ISO/IEC 27002 som är vägledningen för de 114 säkerhetsåtgärderna som finns i bilaga A i kravstandarden för ett Ledningssystem för Informationssäkerhet (LIS enligt ISO/IEC 27001). Den senaste versionen kom 2013 och att en ny version diskuteras redan nu är inget konstigt då innehållet hela tiden måste hållas aktuellt. Standardutveckling tar lång tid, att arbetet startar nu innebär att en ny version blir klar om ca 3-4 år.

Jan Branzell, Veriscan, är en av tre internationella rapportörer som håller i grundplaneringen för revisionen vilket ger en intressant inblick i hur olika länder och experter ser på hur informationssäkerhetsområdet utvecklas. Det är lite tidigt att säga vad som kommer att omfattas av revisionen men det är klart att områden inom både cyber security, privacy och IoT kommer att påverkas. Molnsäkerhet har redan behandlats i olika standarder inom ISO 27000 serien men det kan kanske också ingå mer generellt i en framtida version.

I övrigt så kommer säkert mötet att handla mycket kring Internet of Things (IoT) samt privacy. Klart är att ISO 2700 serien täcker cyber security som område, men frågan om begreppet ”cyber security” ska ingå och i så fall hur, är en annan långsiktig diskussionspunkt på mötesagendan.

Det är ca 275 deltagare från hela världen som deltar på mötet, fördelade på fem arbetsgrupper. Från Sverige består delegationen från SIS TK318 av 7 deltagare som kommer att vara aktiva i stort sett i alla de fem arbetsgrupperna.

Webbaserade verktyg för informationssäkerhet är just nu högaktuella

Ett flertal internationella aktörer visar nu stort intresse för Veriscan webbaserade verktyg Veriscan vIC samt Veriscan vRISK. I Sverige har redan ett antal kunder börjat använda Veriscan vRISK och nu även Veriscan vIC.

Båda verktygen är användarvänliga och flexibla vad gäller antalet användare och möjligheten till anpassade inställningar. Verktygen innebär att register över tillgångar kan delas både mellan verktygen men även organisatoriskt inom verktygen, vilket gör att bl a tillgångsregistret uppdateras automatiskt och kontinuerligt.

Möjligheten till grafisk överblick finns i båda verktygen vilket innebär stor besparing av tid för att sammanställa rapporter och det ger dessutom en ökad transparens.

Veriscan vIC är ett specifikt framtaget verktyg för att stödja klassificering. Klassificering handlar om att sätta värden på informationstillgångar utifrån aspekten informationssäkerhet (konfidentialitet, riktighet och tillgänglighet). Veriscan vIC kan komplettera riskverktyget Veriscan vRISK, men är helt fristående.

Veriscan vRISK är ett hjälpmedel för planering och genomförande av riskanalyser. Möjlighet finns till egna inställningar av bland annat riskskalor och användarinstruktioner. Verktyget underlättar långsiktigt hållbar riskhantering med stöd för beslut samt uppföljning av överenskomna riskåtgärder. Aggregerade sammanställningar av flera riskanalyser är en av flera användbara funktioner.

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

Skydd av persondata inför GDPR

Veriscan beskriver i två White Papers (WP) hur man kan använda sitt ledningssystem för informationssäkerhet (LIS) när man arbetar med GDPR. EU:s förordning kring skydd av persondata (GDPR) ger just nu många frågor. De som har ett LIS enligt ISO 27000 serien har en fördel då detta kan användas vid arbetet med GDPR.

Veriscan har tagit fram ett generellt WP (ISMS and GDPR) som beskriver hur man kan använda LIS och andra standarder och därigenom nyttja det som redan finns i det befintliga LIS:et för GDPR. I detta WP presenteras ett angreppssätt i fem nivåer utifrån kraven i ISO/IEC 27001. Det ger också, i olika bilagor, begreppsförklaringar kring ”privacy” samt deras förhållande till informationssäkerhet. Det finns också information om olika standarder som kan användas för GDPR arbetet.

Enkelt uttryckt är slutsatsen att beroende på hur väl LIS är etablerat och infört så kan man använda många av LIS processerna för GDPR eftersom persondata är en informationstillgång som andra som ska skyddas i ett LIS. GDPR är ”bara” ännu ett krav på informationssäkerhet som LIS måste ta hänsyn till. Dock finns även ytterligare specifika krav som inte direkt handlar om informationssäkerhet och som också tas upp i WP. Tid och pengar kan sparas om man nyttjar sitt LIS för GDPR och inte hanterar detta separat.

Veriscan har baserat innehållet i WP på sin delaktighet i ISO standardiseringen i Sverige och internationellt samt praktisk erfarenhet. Det första WP innehåller ingen koppling till Veriscan utan kan användas av vilken organisation som helst. Förkunskap om ISO 27000 serien krävs dock för full förståelse.

Veriscan har även tagit fram hur Veriscan:s lösningar kan stödja GDPR arbetet och det presenteras i ett andra White Paper (Veriscan Solutions GDPR). I detta WP beskrivs översiktligt bland annat klassificeringsverktyget Veriscan vIC - för identifiering och bedömning av person data, samt riskverktyget Veriscan vRISK. Båda WP är på engelska till att börja med men svensk version är under framtagning.

Mer information går att läsa här.

Kontakta oss gärna på info@veriscan.se om ni vill diskutera detta ytterligare

Informationsklassificering stödet blir enklare oavsett om ISO 27001 eller GDPR

Veriscan har under hösten 2016 tagit fram ett nytt web-baserat verktyg som stödjer informationsklassificering. Verktyget heter Veriscan vIC där IC står för Information Classification (eller Criticallity).

Klassificering handlar ytterst om att identifiera och värdera tillgångar. Men för att kunna använda resultatet så krävs det också att man har ett register och kan identifiera ägare. Detta är ett av kraven i bilaga A i ISO/IEC 27001 (internationell standard över ledningssystem för informationssäkerhet, LIS).

Veriscan vIC är specifikt framtaget verktyg för att stödja klassificering. Verktyget ger möjlighet till kontroll av informationstillgångar genom att den bygger upp ett register. Arbetssättet baseras på att man har en utgångspunkt i verksamhetens information och kan ha en tjänstebaserad (ICT) inriktning - Samtidigt!

Det intressanta är att den nya EU förordningen kring skydd av persondata också kräver att man identifierar och har kontroll på de personuppgifter som man hanterar. Man måste också ha kontroll på att man skyddar informationen på ett tillfredställande sätt. Förenklat så är grunden i GDPR aktiviteteten väldigt lika en klassificering. Man ska bedöma vad värdet är för individen och organisationen om hanteringen av personuppgifter brister ur informationssäkerhets- och ”privacy” perspektiv. Veriscan vIC kan alltså användas för att göra bedömningen och även skapa ett register med privacy data och tillika informationstillgångar enligt GDPR. Dessutom kan resultatet av en informationsklassning med fördel användas som en del av en s.k. PIA (Privacy Impact Analysis).

Veriscan vIC baseras på Veriscan:s 15 åriga erfarenheter av informationsklassificering kopplat till standardutveckling. Verktyget har utvecklats tillsammans med ett antal organisationer som pilottestat utvecklingsversionerna och den första kommersiella versionen har nyligen släppts.

Veriscan vIC kan komplettera riskverktyget Veriscan vRISK, men är helt fristående.

För mer information kontakta oss på info@veriscan.se

Resultat från SC27 mötet i Abu Dhabi och nya ISO/IEC 27003 snart klar

Det var ca 275 personer från hela världen som deltog i senaste SC27 mötet kring utveckling av standarder inom informationssäkerhet och teknik.

Trendmässigt så kan man se att olika steg som standardiseringen tar inom området för att vara i takt med utvecklingen är inom bl.a:

  • Cyber och informationssäkerhet – hur hänger begreppen samman
  • Privacy och informationssäkerhet – hur ska man få ihop likheter och skillnader
  • IoT – flera projekt har startats
  • Cyber insurance – hur kan man stödja försäkringar på området

Sista steget genomfördes kring ISO/IEC 27003 om vägledning av kraven i ISO/IEC 2700 (ledningssystem för informationssäkerhet, LIS).

Jan Branzell, Veriscan, som ledde arbetet med att ta fram standarden säger att det är fantastiskt att arbetet nu är avslutat efter ca 3 år och att vägen dit har varit minst sagt lärorik och nyttig.

Det tar lång tid för alla experter och länder att enas om tolkningar och råd samt att hitta en nivå som de flesta organisationer kan använda. Beroende på handläggningen inom ISO kommer den nya versionen att vara tillgänglig om ca 4-6 månader. Den nya versionen är ett stort steg för användarna och ökar förståelsen för hur man ska dra nytta av och införa sitt LIS.

Den nya versionen ger en bättre helhetsbild även om den inte ger det projektstöd som den tidigare versionen. Idealet hade varit att både tolkning och införande perspektivet funnits i standarden men det hade varit för komplext. Men vem vet kanske kommer det i framtiden även en variant som berör just införande fasen, avslutar Jan Branzell.

Möte ISO JTC1 SC27

Bilden är från ISO JTC1 SC27 välkomstarrangemang i Abu Dhabi. Kommittén har internationella möten två gånger per år. Veriscan har deltagit i det svenska standardiseringsarbetet sedan år 2000 samt internationell sedan 2004 då ISO 27000 blev antagen som ISO standard i sin första version.

Enkelhet och flexibilitet avgjorde affären

Avtalet är ett långsiktigt licensavtal för verktyget Veriscan vRISK och omfattar initialt s.k. operationella risker. Ambitionen är dock att verktyget ska användas även inom andra riskområden på sikt i linje med att kunden har en stor och omfattande organisation.

En stor del i affären är att Veriscan vRISK är ett webbaserat användarvänligt, flexibelt och transparent riskhanteringsverktyg. Verktyget är ett hjälpmedel för planering och genomförande av riskanalyser, beslut om riskåtgärder och stöd för uppföljning av överenskomna åtgärder som enkelt kan spridas i organisationen.

Samsynen att riskarbetet måste baseras på att stödja rishanteringen så nära verksamheten som möjligt var det som kunden sökte när de kom i kontakt med Veriscan. Att sedan riskrapporteringen och att statusen direkt går att se och välja ut för eskalering och rapportering var det andra grundläggande kravet.

Ett tredje krav var att det skulle vara webbaserat och kunna användas på mobila enheter. Veriscan vRISK ger visuellt en tydlig överblick av risker. Möjligheten att få en grafisk överblick över risker och deras hantering innebär stor besparing av tid för att sammanställa rapporter och dessutom en ökad transparens.

För mer information (Se våra lösningar). Eller kontakta oss på info@veriscan.se

Många myndigheter mäter sin informationssäkerhet

Vi ser att efterfrågan på Veriscan Rating® bland myndigheter nu är mycket stor. Just nu genomförs två Veriscan Rating med mätprogram 3 mätningar samt två Veriscan Rating med mätprogram 2.

Från vad vi ser så har en del myndigheters arbete med informationssäkerhet nått en större mognad och prestandamätningar blir en del i det strukturerade arbetet med informationssäkerhet.

Veriscan Rating prestandamätningar används i det strategiska arbetet med informationssäkerhet. Resultatet ger en organisation en avvägd helhetsbild och möjligheten att genom jämförelser hitta effektiva förbättringar genom att tydliggöra möjliga prioriteringar.

Jämförelsen över tid, som Veriscan Rating ger, är viktig för att utvärdera informationssäkerhetsarbetet och förenklar för ledningens styrning samt är säkerhetsorganisationens strategiska stöd till hela organisationen.

Ytterligare några av de områden vi är experter inom är Riskhantering (IRM), Kontinuitetsplanering (BCM), Utbildning och Ledningssystem för informationssäkerhet (ISM). (Se våra lösningar.)

Transportbolag genomför Veriscan Basic+

Under hösten har Veriscan genomfört ett antal gapanalyser mot ISO 27000 och den senaste i raden är till ett större transportbolag. Kunden ser gapanalysen som ett första steg för att kunna prioritera sina insatser inom området informationssäkerhet och som en viktig del i införandet av standarden. I uppdraget ingår även att vidare stötta verksamheten med att förbättra ledningssystemet för informationssäkerhet, LIS samt genomföra säkerhetshöjande insatser.

Veriscan Basic+ är en gapanalys mot ISO 27001 vilken ger en överblick över nuläget, grafiskt presenterat på organisatoriskt, ICT och fysiskt område samt med rekommendationer på detaljnivå. Se produktblad Veriscan Rating - Basic.

För att nå ett så bra resultat som möjligt genomförs Veriscan Basic gapanalys med intervjuer på plats i verksamheten.

Veriscan och nästa ISO möte om ISO 27000 serien i Abu Dhabi

Veriscan deltar vid nästa internationella standardiseringsmöte i Abu Dhabi i slutet av oktober.

Mötet kommer bland annat att behandla de sista ändringarna av den nya versionen av ISO/IEC 27003 som nu beskriver kraven i ISO/IEC 27001:2013.

Den nya versionen beräknas vara klar för publicering i början av nästa år säger Veriscans VD Jan Branzell som leder arbetet som Editor för standarden.

I övrigt så kommer säkert mötet att handla mycket kring internet of things (IoT) samt privacy frågor.

Mötet kommer också att ta upp en ev. framtida revision av ISO/IEC 27002 som är vägledningen för de 114 säkerhetsåtgärderna som finns i bilaga A i kravstandarden för ett Ledningssystem för Informationssäkerhet (LIS enligt ISO/IEC 27001). Den senaste versionen kom 2013 och att en ny version diskuteras redan nu är inget konstigt då innehållet hela tiden måste hållas aktuellt. Standardutveckling tar lång tid så att arbetet startar nu innebär en ny version om ca 3-4 år.

Jan Branzell, Veriscan, är en av tre internationella rapportörer som håller i grundplaneringen för revisionen vilket ger en intressant inblick i hur olika länder och experter ser på hur informationssäkerhetsområdet utvecklas. Det är lite tidigt att säga vad som kommer att omfattas av revisionen men det är klart att områden inom både cyber security, privacy och IoT kommer att påverka. Molnsäkerhet har redan behandlats i olika standarder inom ISO 27000 serien men det kan kanske också ingå mer generellt i en framtida version.

Det är ca 275 deltagare från hela världen som deltar på mötet, fördelade på fem arbetsgrupper. Från Sverige är delegationen något mindre än vad det brukar vara med 5 deltagare men som kommer att vara aktiva i alla arbetsgrupperna denna gång vilket är nytt.

Granskningen utförd med Veriscan Rating

Riksrevisionen har granskat hur nio myndigheter arbetar med informationssäkerhet. Riksrevisionen använt verktyget och metoden Veriscan Rating för att djupare granska 3 av dessa myndigheter.

”Ingen av de myndigheter Riksrevisionen har granskat kan sägas ha ett systematiskt informationssäkerhetsarbete kraven i Myndigheten för samhällsskydd och beredskaps (MSB:s) föreskrifter om statliga myndigheters informationssäkerhet."

Kritiken är svidande. Ett av problemen är att informationssäkerhet ses som en rent teknisk fråga och kan därför bli ointressant för myndighetsledningar som delegerar ansvaret för informationssäkerhet utan att se till att de ansvariga har tillräckligt mandat eller tillräckliga resurser.

Den bild som framträder bedöms, enligt Riksrevisionen, gälla för flertalet myndigheter i statsförvaltningen. Riksrevisionen bedömer att det bland annat behövs:

  • en starkare styrning från regeringen
  • mer operativt stöd i arbetet
  • en modell eller ett metodstöd för riskanalyser

Veriscan Rating är en prestandamätning av en organisations informationssäkerhetsläge. Veriscan Rating är både en metod och ett verktyg och består av ett antal olika moduler för mätning av informationssäkerhet baserat på olika standarder och best practise. Riksrevisionen kommer själva att intensifiera sitt arbete med att få till stånd ett fungerande ledningssystem för informationssäkerhet.

Läs mer - Riksrevisionen.se

Ny version av Veriscan vRISK

Under hösten 2015 började Veriscan lansera Veriscan vRISK, ett riskhanteringsverktyg. I dagarna släpptes Versican vRISK version 2.3. Veriscan vRisk ger visuellt en tydlig överblick av Era risker.

Aggregerade riskanalyser

Möjligheten att få en grafisk överblick över risker och deras hantering innebär mycket besparing i tid för att sammanställa rapporter och en ökad transparens. Det intressanta är att besparingen i tid ger effekt redan vid 2-3 riskanalyser.

Veriscan gratulerar RG19 till ISO/IEC 27001:2013 certifiering.

Vår kund RG19 har nu blivit certifierade enligt ISO/IEC 27001:2013 och därmed klarat de högt ställda kraven enligt standard.

Att arbeta strukturerat och långsiktigt med införande av ledningssystem för informationssäkerhet ger resultat. Vi har under en tid stöttat vår kund med införandet av ledningssystem för informationssäkerhet och vet att de ligger långt fram gällande säkerhetsrelaterade frågor, säger Lorentz Lundmark, Veriscan.

Vi använder vår modell Veriscan ISM för att stötta organisationer mot certifiering enligt ISO/IEC 27001 ledningssystem för informationssäkerhet. Veriscan ISM har ett antal metoder och verktyg som stödjer kundens arbete med informationssäkerhet enligt ISO 27000. En av de stora nyttorna med Veriscan ISM är att Veriscan utgör en samarbetspart och jobbar tillsammans med kunden med kortare avgränsande insatser under en längre tid. Detta gör att man tillsammans och kostnadseffektivt kan säkerställa att resultatet blir på det sätt som kunden behöver och att verksamhetsnyttan blir tydlig.

Ledningen vid RG19 har visat ett stort engagemang i informationssäkerhetsfrågorna och kommer driva ett ständigt förbättringsarbete, för att fortsätta bygga vidare på företagets högt ställda säkerhetskultur. Att som organisation bli ISO/IEC 27001:2013 certifierade är inte bara en marknadsfördel utan även en styrka för den egna utvecklingen av företaget.

Med ett certifikat kan kunder och samarbetspartner känna sig trygga i att nödvändiga åtgärder vidtas för att skydda känslig information. Certifiering enligt global standard är en kvalitetsstämpel som många organisationer och företag använder.

Rg19 är ett svenskt IT-driftföretag med tre huvudområden; IT-drift, integration och säkerhet med verksamhet i Norden.

Läs mer - Rg19 hemsida

Seminarieserie kring öppna data

Länsstyrelsen i Värmland stod som värd vid seminariet "Öppna data och säkerhet - Vad behöver man tänka på när man öppnar upp data?"

Veriscan deltog med VD Jan Branzell som höll en presentation på temat "Säkerhetslösningar och öppna data?" där Jan bland annat diskuterade drivkrafter till att ha kontroll på sin informationssäkerhet och vikten av att hela verksamheten är riskmedveten.

Seminariet var det sista i seminarieserien kring öppna data som sker i samarbete med Myndigheten för Samhällsskydd och beredskap, Konsumentverket, Kronofogden, Elsäkerhetsverket, Karlstads universitet, Förvaltningsrätten i Karlstad och Värmlands tingsrätt, Landstinget i Värmland samt Karlstads kommun.

För att ta del av seminariet kan ni gå in (här.)

Veriscan lösningar ger det rätta stödet redan nu

Den nya dataskyddsförordningen ska ge enskilda större kontroll över sina personuppgifter men ändå tillgodose organisationers behov av att kunna behandla personuppgifter. Sverige har fått gehör för vår grundlagsreglering om offentlighetsprincipen och yttrandefriheten men behöver nu anpassa lagstiftningen på bästa sätt för att kunna följa EU:s nya gemensamma regler.

Det finns nu många frågor kring vad den nya EU-förordningen innebär som vi får som specialister inom informationssäkerhet. Vi ser en tydlig skillnad på de som frågar som redan har ett strukturerat arbetsätt när det gäller informationssäkerhet och de som inte har det. Det är också tydligt att de som inte har ett strukturerat arbetssätt kommer att behöva en längre tid att efterleva de nya kraven. Främst för att man inte längre kan se isolerat på IT system utan måste bedöma vad som är personuppgifter och dess konsekvenser. För vissa kan detta också innebära att man sedan måste se över de IT lösningar och databaslösningar man har. Det kommer att krävas insatser att göra rätt och minimera IT-strukturändringar. Men det kan kosta betydligt mer att inte ha gjort det då vitesbeloppen är minst sagt påtagliga samt givetvis om ändringar i IT-strukturen görs på fel grunder.

Veriscan har sedan tidigare verktyg och metoder och även tagit fram nya som enkelt kan användas för strukturerad informationssäkerhet samt hjälpa till att tillgodose kraven i förordningen.

Veriscans lösningar

Klicka på bilden för att läsa artikeln eller läs den under vår flik (Artiklar.)

Kundnytta och kundnöjdhet hänger ihop

Vi ser att efterfrågan på Veriscan Rating fortsätter öka. Allt fler använder det som ett återkommande verktyg i sitt strategiska arbete med informationssäkerhet, och som en del i ledningssystemet.

Tydlighet och bättre kundnytta är ledord då vi paketerar våra tjänster. Många av våra kunder är mogna organisationer med väl utvecklat arbete inom informationssäkerhet. Därmed är inte sagt att de satsar sina resurser kostnadseffektivt.

Många organisationer följer ISO/IEC 27001, även om de inte certifierar sig, och mäter sig över tid enligt kraven i standarden. Nyttan är att Veriscan Rating prestanda mätningar ger en mogen organisation både möjligheten att genom jämförelser över tid hitta effektiva förbättringar och få en ledningsrapportering som tydliggör var de bäst gör prioriteringar.

Jämförelsen över tid, som Veriscan Rating ger, är viktig och även kunder som mäter sig för första gången för att utvärdera sitt informationssäkerhetsarbete, oavsett hur utvecklat det är, börjar resonera när man ska mäta sig nästa gång.

Ytterligare några av de områden vi är experter inom är Riskhantering (IRM), Kontinuitetsplanering (BCM), Utbildning och Ledningssystem för informationssäkerhet (ISM). (Se våra lösningar.)

Rätt Säkerhet 26 maj i Stockholm

SIS arrangerar även i år SIS Rätt Säkerhet, konferensen med det senaste inom informationssäkerhet.

Molntjänster och outsourcing är aktuella ämnen som diskuteras av bland annat Jan Branzell, VD Veriscan Security. Dagen innehåller även kunskap, erfarenheter och praktiska tips inom informationssäkerhetsområdet. Ta del av inspirerande talare, allt från införande av Ledningssystem för Informationssäkerhet, LIS till omcertifiering mot ISO 27001. Allt för att du ska få till ett system som ger dig så mycket verksamhetsnytta som möjligt.

Lyssna även till hur man bekämpar pirater!

Ta del av rundabordsdiskussioner med kollegor från branschen och utbyt erfarenheter.

Möt gärna oss på Veriscan då vi är en av utställarna!

Konferensen hålls 26 maj på Clarion Hotel Sign. - Se program och anmälan på www.sis.se

Standardiseringsmöte äger rum i Tampa, USA 10-19 april

Mötet som är indelat i olika arbetsgrupper kommer främst att ha fokus på att hantera molnsäkerhet och identitets och privacy frågor. Men även att vissa standarder revideras för att bättre stödja LIS standarden ISO/IEC 27001:2014.

Andra fokusområden kommer att vara att se på vad som händer inom Internet of Things.

Ur ett internationellt perspektiv är det väldigt intressant att flera sektorer börjar koppla sina regelverk till ISO 27000 serien såsom inom finans, flyg och energi. Därutöver arbetar man också vidare inom incidentområdet som nu även kan beröra Sverige i och med den nya föreskriften från MSB om Myndigheters incidentrapportering. - MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Jan Branzell VD för Veriscan kommer att delta och (ansvara för den svenska delegationen) och från svenskt håll så kommer vi att försöka se på många av de nya projekten som dyker upp samt givetvis de standarder som vi är aktiva i att bidra till, bl.a. inom molntjänster och säkerhet samt inom cybersäkerhetsområdet.

Standardiseringsmöten inom ISO hålls några per år och samlar ca 300 experter från hela världen som deltar i olika arbetsgrupper. ISO standarder utvecklas av expertgrupper och i en allt mer internationaliserad värld när det gäller informationshantering är förhållningen till ett gemensamt globalt regelverk allt viktigare. Organisationer väljer att implementera ISO 27000 standarder för att dra nytta av innehållet och bästa praxis när det gäller säkerhet för information.

Ledningssystem och verksamhetsnytta

På ämnet ”Hur kan ledningssystem ge verksamhetsnytta för en kommun och hur kan ledningen inkluderas?” håller Jan Branzell, VD Veriscan och Per Oscarson, CISO Örebro kommun ett gemensamt föredrag. Denna programpunkt ligger efter lunch dag 2, torsdag 7 april på konferensen, Informationssäkerhet i kommunal verksamhet, som hålls i Stockholm 6-7 april.

Konferensen syftar till att möjliggöra erfarenhetsutbyte och vara en mötesplats för verksamma inom branschen.

Teknologiska Institutet står som arrangör och har bjudit in kunniga experter som presenterar matnyttiga erfarenheter från flera praktikfall.

Nyckelord ur programmet:

  • Säkerhetshot
  • Integrera informationssäkerhet i organisationen
  • Molntjänster
  • Mobila användare
  • Utbildning
  • Metodstöd
  • Ledningssystem
  • Implementering
  • Utmaningar
  • Framgångsfaktorer

- Se programmet på www.teknologiskinstitut.se

Veriscans erfarenhet samt tjänster och verktyg väcker intresse

Veriscan har länge arbetat med standardisering inom informationssäkerhet och har dessutom utvecklade tjänster och verktyg inom riskområdet.

Detta har lett till att Veriscan fått en inbjudan att hålla ett antal workshops och föredrag i Lissabon och Oporto i Portugal under mars.

De ämnen vi kommer att lyfta fram är bland annat riskhantering enligt nya versionerna av ISO/IEC 27001 (Informationssäkerhet) och ISO 9000 (Kvalitet) samt ISO 22301 (Kontinuitetshantering) samt även i viss mån ISO 20000 (Servicetjänster/ITIL).

Veriscan är inbjudna som talare och syftet är först och främst kunskapsöverföring och nätverkande. Vi kommer möta en blandning av olika målgrupper, allt från myndigheter till studenter vilket gör att presentationerna kommer bli lite olika, säger Jan Branzell.

Det faktum att man i Portugal vänder sig till oss ser vi som oerhört värdefullt både för vårt utbyte internationellt men även då vi kan konstatera att vi har något att tillföra. Kanske kan vi göra något liknande här i Sverige senare i vår.

Veriscan Basic+ för Internationell koncern

Många organisationer är verksamma i flera länder och det kan vara viktigt att i vissa lägen kunna stödja kundens arbete med informationssäkerhet just ur det perspektivet. Detta är speciellt viktigt om ledningssystemet för informationssäkerhet (enligt ISO/IEC 27001) ska omfatta organisationen i båda länderna.

Veriscan Basic+ är en gapanalys mot ISO 27001 vilken ger en överblick över nuläget, grafiskt presenterat på organisatoriskt, ICT och fysiskt område samt med rekommendationer på detaljnivå. Se produktblad Veriscan Basic.

Vårt senaste uppdrag av Veriscan Basic+ är till ett företag i Sverige som tillhör en koncern med delar av verksamheten i England.

För ökad kundnytta och kundnöjdhet genomförs en Veriscan Basic gapanalys genom intervjuer på plats i verksamheten. I detta fall innebär det att delar av detta uppdrag genomförs av Veriscan Security Ltd, vår lokala samarbetspartner i England, medan övrig analys utförs av Veriscan Security AB i Sverige.

Ny funktionalitet i Veriscan vRISK 2.2

Veriscan har i många år insett behovet av ett riskhanteringsverktyg. Vi har, liksom många andra, använt excel tillsammans med vår metodik för riskhantering.

Under hösten 2015 började vi lansera Veriscan vRISK och har i samarbete med större kunder vidareutvecklat verktyget och i dagarna släppt Veriscan vRISK 2.2.

I den nya versionen är de större förändringarna bland annat ny summering över riskanalysen. Det innebär att risker och dess aktiviteter presenteras för att skapa en överblick så att inte något förbisetts.

Den funktionalitet som visuellt ger tydligast överblick av en riskanalys är aggregering av risker. I den nya versionen finns ny funktionalitet som nu ger möjlighet att följa förändringar av risker över tid. För aggregerade rapporter ges detaljerad information om vilka risker som är representerade i rapporten.

Aggregerade riskanalyser Den här möjligheten att grafiskt snabbt få en överblick över utvecklingen innebär mycket besparing i tid för att sammanställa rapporter och en ökad transparens. Det intressanta är att besparingen i tid ger effekt redan vid 2-3 riskanalyser. Hur sedan möjligheten att ge ledningen den här överblicken och transparensen påverkar det faktiska riskarbetet kan bara ge ytterligare effektivitet och besparingar även för mycket stora organisationer.

Nytt internationellt ISO möte kring standardisering inom ICT- och informationssäkerhet

Nästa ISO SC27 möte äger rum i Jaipur i Indien under sista veckan i oktober där Veriscan deltar i den Svenska delegationen.

Mötet kommer främst att ha fokus på att stötta revideringen av de standarder som direkt stödjer den relativt nya utgåvan av ISO/IEC 27001:2013. Standardiseringsarbete tar tid och även om man önskar att även stödstandarder ska ges ut i samband med den nya versionen är detta tyvärr inte möjligt. Anledningen är att arbetet med stödstandarder inte kan starta förrän man vet hur nya versionen av 27001 ser ut.

Revideringen av ISO/IEC 27003, som handlar om vägledning av kraven i 27001, är den standard man nu hoppas går ett steg vidare. Det är viktigt att den kommer ut på marknaden så snart som möjligt då den förklarar mycket av det som är omarbetat i den nya versionen av 27001 , säger Jan Branzell som leder den svenska delegationen och som även är editor för den aktuella standarden.

Andra fokusområden kommer att vara att se på vad som händer inom området för personlig integritet. Ur ett internationellt perspektiv är det väldigt intressant med tanke på det som händer inom EU och USA och då givetvis sett med svenska ögon.

ISO/IEC 27017 som är en sektorspecifik standard för informationssäkerhet i molnet baserat på ISO/IEC 27002 är klar för publicering men ytterligare arbete inom molnsäkerhet, Internet of Things (IoT) mm kommer att ske under mötet.

Att veta vart man befinner sig när det gäller informationssäkerhet blir allt viktigare

Vi upplever just nu att förfrågningar och order kring både Veriscan Rating prestandamätningar och vanliga gapanalyser med Veriscan Basic+ ökar. Vi tror att detta är ett tecken på att större fokus läggs på informationssäkerhetsfrågor och att framförallt ledningen visar ett ökat engagemang.

Kopplingen mellan god informationssäkerhet och god lönsamhet blir mer tydlig. Signalen är inte bara intressant för Veriscan utan för marknaden som helhet då den även ger draghjälp åt ISO 27000 standarden som omfattar ledningssystem för informationssäkerhet, säger Johan Onerhed säljansvarig på Veriscan.

Årets stora branschträff

Det händer mycket inom området för informationssäkerhet och ISO 27000. Veriscan Security är med och utvecklar programmet för SIS stora branschträff 27 maj.

Rätt Säkerhet 2015 vänder sig till Informationssäkerhetschefer, CIO:s, Risk Managers, säkerhetsexperter, IT-revisorer m.fl.

Tidigare år besöker ca 200 deltagare och ett femtontal utställare eventet för att nätverka och ta del av erfarenheter, praktiska exempel från olika verksamheter och utställarnas erbjudanden.

Eventet kommer att äga rum på Clarion Hotel Sign i Stockholm. Ytterligare information om Rätt Säkerhet med program och inbjudan finns på - www.sis.se

Veriscan deltar vid nästa internationella möte för utveckling av ISO 27000

Nästa internationella standardiseringsmöte kommer hållas i maj och på agendan finns bland annat att slutföra ISO/IEC 27017 som handlar om molnanpassning av ISO/IEC 27002. Vidare kommer arbetet med nya versionen av 27003 standarden som ska ge vägledning till hur man ska tolka kraven i den nya versionen av ISO/IEC 27001. Jan Branzell VD för Veriscan kommer förutom att delta och ansvara för den svenska delegationen även att driva frågor kring outsourcing i molnet och även utvecklingen av nämnda 27003. Mötet som hålls i Malaysia beräknar samla ca 300 experter från hela världen som deltar i olika arbetsgrupper.

Utveckling av ISO standarder

ISO standarder utvecklas av expertgrupper, inom tekniska kommittéer (TCS). ISO har över 250 tekniska kommittéer och ISO 27000 serien utvecklas av den kommitté som heter SC27. Den svenska motsvarigheten heter TK 318 och hanteras av SIS.

Standardserien ISO 27000

Organisationer väljer att implementera ISO 27000 standarder för att dra nytta av innehållet och bästa praxis för att kunder och andra intressenter ska få ökad trygghet med att deras rekommendationer och förväntningar följs när det gäller säkerhet för information.

I en allt mer internationaliserad värld när det gäller informationshantering är förhållningen till ett gemensamt globalt regelverk allt viktigare oavsett om vi pratar utveckling av tjänster, användning av hostade tjänster (inkl. moln) eller bara informationsutbyte allmänt.

ISO/IEC 27001 är grundstandarden och den ställer krav på ett ledningssystem för informationssäkerhet (LIS). Ett LIS är en systematisk metod för att hantera information på ett säkert sätt ur flera aspekter. Informationssäkerhet innebär både att vi kan lita på och att informationen är tillgänglig samt givetvis att den inte sprids till obehöriga.

Veriscan stödjer flera organisationer inför certifiering

Veriscan har fått in flera uppdrag inom Veriscan ISM för att stötta organisationer mot certifiering enligt ISO/IEC 27001 ledningssystem för informationssäkerhet.

Vår modell för stöd vid införande ger kunden möjlighet att se verksamhetsnyttan med att lägga in informationssäkerhet i sitt sätt att styra verksamheten. Flera av våra kunder har nu börjat sikta även på certifiering som ett bevis på sitt arbete med informationssäkerhet.

Vi har också fått in ett antal nya kunder som nu börjat sitt arbete med att arbeta enligt ISO 27000 även om de inte ännu bestämt sig för certifiering, säger Lorentz Lundmark som ansvarar för några av uppdragen.

Veriscan ISM har ett antal metoder och verktyg som stödjer kundens arbete med informationssäkerhet enligt ISO 27000. En av de stora nyttorna med Veriscan ISM är att Veriscan utgör en samarbetspart och jobbar tillsammans med kunden med kortare avgränsande insatser under en längre tid. Detta gör att man tillsammans och kostnadseffektivt kan säkerställa att resultatet blir på det sätt som kunden behöver och att verksamhetsnyttan blir tydlig.

Veriscan Rating refererar till krav på finansbolag

Veriscan Rating som är en metod och stöd för att mäta informationssäkerhet ger organisationer stora möjligheter att möta krav från nya regelverk. Finansinspektionen kom t.ex. under förra året ut med föreskrifter kring informationssäkerhet inklusive IT.

Våra kunder som använder Veriscan Rating kan via referenshantering direkt se på hur de presterar även till de nya reglerna.

Vi ser det här som ett tydligt trendbrott när det gäller nyttan med vår metod att mäta. Trendbrottet är att de flesta kunder har haft ISO 27000 som största direkta referens, men nu vill man ha mappning mot olika kravdokument fast från samma mätning.

Ofta genererar ett nytt regelverk inom området för någon bransch en febril verksamhet och kostar mycket resurser internt och externt. Här kan organisationen, beroende på vad man mätt med Veriscan Rating, direkt se vad man har på plats och anpassa insatsen efter det, vilket spar både tid och pengar.

Workshop kring standardiseringsarbete

Det finns mycket att säga om standardiseringsarbete och om säkerhet relaterat till molnet just nu. Standardisering tar tid men en del saker börjar nu formalisera sig inom de molnsäkerhetsstandarder som har en koppling till ISO 27000 serien om informationssäkerhet.

En workshop genomfördes nyligen av arbetsgruppen inom SIS/TK 318* Informationssäkerhet. Där behandlades främst en kommande standard om outsourcing och olika molntjänster (ISO/IEC 27036-4). Den standarden diskuterades i relation till en annan standard under utveckling, ISO/IEC 27017 som är en anpassning av säkerhetsåtgärderna i ISO/IEC 27002 så att de riktas bättre till konsumenter och leverantörer av molntjänster.

Jan Branzell, Veriscan Security leder den grupp som ser på säkerhetsåtgärder i ISO 27036-4 utifrån olika molnlösningar.

Vi fick fram ett väldigt bra resultat från workshopen som vi kommer att ta vidare till nästa internationella standardiseringsmöte i maj, säger Jan.

En annan standard värd att nämna är ISO/IEC 27018 som handlar ”privacy” frågor. Den är redan utgiven och vägledningen i den här standarden är också inriktad på moln. De andra standarderna kommer att publiceras under nästa år förhoppningsvis, men redan nu kan vi se vissa grunddrag och hur de kan användas speciellt i relation till ISO/IEC 27001 som man kan certifiera sig emot.

Vi har hållit ett antal föredrag kring molnet & standarder och kommer att hålla ett i Karlstad på DigIT Värmland i april och det ska bli intressant att se vilka frågor som kan dyka upp, säger Jan Branzell

*) SIS/TK 318 är benämningen på den svenska tekniska kommittén som utvecklar informationssäkerhetsstandarder i SIS regi.

Ny termin för kurser inom informationssäkerhet börjar i mars

Inom SIS Informationssäkerhetsakademi finns ett antal kurser som baseras på ISO 27000 serien och har allt från orienteringskurser, workshops kring nya versioner av standarder till expertutbildningar inom risk och revision.

SIS förlänger avtalet med Veriscan kring öppna utbildningar inom SIS Informationssäkerhetsakademi. Veriscan har ansvaret för att ta fram material och hålla utbildningar som underleverantör till SIS.

Se till att anmäla er i god tid till informationssäkerhetskurserna i mars som startar med endags introduktion och sedan basblock 1 och 2. - Se kalendarium på SIS hemsida

För mer info om SIS Informationsakademi (länk)

Veriscan Rating genomlyser Elnät

Borås Elnät AB väljer att mäta sin systemsäkerhet med Veriscan Rating mätprogram 2.

Borås Elnät AB är ett kommunägt företag med uppdrag att säkerställa ett väl fungerande el- och kommunikationsnät i Borås Stad.

Att arbeta med att metodiskt analysera sin informationssäkerhet får större och större genomslag. Genom regelbundna mätningar fångar man förbättringar över tid och förändringar. Långsiktigheten och Veriscan Rating ger en unik möjlighet till en enkel återrapportering av en komplex fråga till ledning och olika intressenter.

Borås Elnät AB arbetar med en mycket långsiktig strategi för att möta det ökade kravet på elförsörjning som en växande stad för med sig. Informationssäkerhet är en viktig fråga i detta arbete. Dagens samhälle bygger helt och hållet på system som behöver el för att fungera.

Veriscan vill även uppmärksamma Elens dag - 23 januari! Elens egen dag – en dag då Sverige firar att vi har el och lyfter fram alla de fantastiska möjligheter el ger oss.

Rg19 har erhållit Veriscan Rating verifikat

Rg19 har genomfört en Veriscan Rating mätprogram 3. Vi gratulerar Rg19 till ett gott resultat och det Veriscan Rating verifikat som organisationen därmed har erhållit.

Skönt att vi nu kan visa, det vi alltid vetat!” säger Rg19s säkerhetschef, Kjell Lundewall.

Rg19 är ett svenskt IT-driftföretag med tre huvudområden; IT-drift, integration och säkerhet med verksamhet i Norden.

Läs mer - Rg19 hemsida/nyheter

Veriscan Rating är en patenterad metod för mätning av säkerhetsnivån. Med en mätning får organisationen en möjlighet till tydlig målstyrning och effektivisering av arbetet med informationssäkerhet. Användningen av Veriscan Rating möjliggör flera återkommande mätningar i framtiden.

Det är glädjande när våra kunder förstår marknadsvärdet av att påvisa god informationssäkerhet så att kunder och samarbetspartner kan känna sig trygga i att nödvändiga åtgärder vidtas för att skydda känslig information. Veriscan Rating resultatet är ett bevis för detta arbete.

Vi har under en tid stöttat vår kund med införandet av ledningssystem för informationssäkerhet och vet att de ligger långt fram gällande säkerhetsrelaterade frågor, säger Lorentz Lundmark, Veriscan.

Hela organisationen hos kunden har varit högst involverad i införandet av ledningssystemet och visat ett stort engagemang i informationssäkerhetsfrågorna.

Kvalitetsstämpel av informationssäkerhet

Veriscan har nöjet att gratulera ytterligare en kund för framgångsrikt införande av ledningssystem för Informationssäkerhet. Kunden, en ledande telecom-operatör, har nu framgångsrikt certifierat en del av sin verksamhet mot ISO/IEC 27001:2013. Veriscan har haft nöjet att delta i arbetet med att införa ledningssystemet, i en roll som primärt utgjorts av rådgivande och strategiskt stöd.

Med ett certifikat kan operatörens kunder och samarbetspartner känna sig trygga i att nödvändiga åtgärder vidtas för att skydda känslig information. Certifiering enligt global standard är en kvalitetsstämpel som många organisationer och företag använder.

Veriscan partner vid Nordic IT Security 2014

Nordic IT Security hölls 5 november i Stockholm och anses vara Skandinaviens ledande event för IT säkerhet och representerar toppskiktet inom strategisk nivå med delegater från privata och offentliga sektorn.

Säkerheten i en organisations IT infrastruktur blir mer och mer utsatt för nästa generations hot och det var utgångspunkten i detta event.

Veriscan höll seminarium på temat "Business Continuity and Incident Recovery" som var till bristningsgränsen välbesökt. Därutöver höll Magnus Norrström, Veriscan ett Roundtable där man diskuterade finansiella konsekvenser av IT-incidenter.

Officiella filmen från eventet - Nordic IT Security 2014

Veriscan agerar mer som en partner för sina kunder än som en leverantör av säkerhetsprodukter! Detta var uppskattat enligt mässdeltagarna.

Veriscans styrka är att vi stöttar organisationer med kunskap om hur informationssäkerhet bör hanteras på strategisk nivå. Veriscan har med sin seniora expertkunskap tagit fram ett antal verktyg och modeller för hur informationssäkerhet implementeras i verksamheten och hur den strategiska styrningen bör se ut. Utgångspunkten i arbetet baseras på fakta från själva verksamheten, lång erfarenhet samt djup kunskap om bland annat ISO standarder inom ämnet.

Veriscan stödjer övergång till nya versionen av ISO/IEC 27001:2013 för europeisk myndighet - Veriscan IRM samt Veriscan ISM

Veriscan Security stöttar övergången för en ISO/IEC 27001 certifierad organisation att gå över till den nya versionen. I uppdraget ingår bl.a riskscenario samt att kunden får en riskhanteringsplan och koppling till Statement of Applicability (SoA) enligt nya standarden.

Veriscan Rating stödjer myndigheter att visa sin förbättrade förmåga

Veriscan har nyligen fått in flera uppdrag från svenska myndigheter som vill följa upp tidigare Veriscan Rating mätningar. Att göra en andra mätning ger inte bara möjlighet till fortsatt effektiva beslut utan också en unik möjlighet att återrapportera till olika delar inom organisationen inkl. ledningen hur säkerhetsarbetet utvecklats. I Veriscan Rating ingår rapporteringsmöjligheter med jämförelser från tidigare mätningar på ett systematiserat sätt vilket både ansvariga inom informationssäkerhet och ledningen efterfrågar.

Veriscan analyserar statusen på informationssäkerhet hos kund i Storbritannien

Veriscan har nyligen genomfört en Veriscan Basic analys i Storbritannien. Veriscan Basic är en gapanalys mot informationssäkerhetsstandarden ISO/IEC 27001. Genom att genomföra en gapanalys mot standard får kunden en bra strukturerad rapport för att kunna ta tag i de brister som upptäckts för att möta kraven i standarden. Detta kan även vara steget mot en certifiering och även vidare verifiering via mätning inom informationssäkerhet.

Företaget i Storbritannien har vänt sig till Veriscan Security för att förbättra sin informationssäkerhetsprocess genom att gå från interna revisioner till mätningar som så småningom är både jämförbara och repeterbara. Dessutom ser kunden att detta ger grunden till benchmarking inom informationssäkerhet och de får på så sätt en konkurrensfördel.

Uppdraget genomfördes genom samverkan mellan Veriscan i Sverige och Veriscan i UK med mycket gott resultat.

Veriscan tecknar långsiktigt avtal med bolag inom försäkringsbranschen

Avtalet sträcker sig från hösten 2014 och över hela 2015. Avtalet avser stöd för långsiktigt informationssäkerhetsarbete hos kunden. Ramavtalet ger kunden möjlighet att avropa och använda ett antal olika tjänster som Veriscan tillhandahåller utifrån det behov som finns och det som krävs för att nå önskat resultat.

Veriscan framhåller vikten av att kunden på detta sätt effektivt kan använda egna resurser och komplettera med avrop av specifika leveranser från Veriscan.

Detta ligger i både Veriscan och kundens intresse då vi månar om att kunden dels är involverad i sitt eget säkerhetsarbete och dels att kunden får ett resurseffektivt utnyttjande.

För mer information läs mer.. > Veriscan lösningar >

Säkerhet i molnet och internationella standarder

Nästa internationella standardiseringsmöte nu i oktober kommer bland annat att beröra hur vi kan hantera säkerhet kring molnet. Jan Branzell VD för Veriscan kommer förutom att delta och ansvara för den svenska delegationen också presentera hur den svenska tekniska kommittén inom SIS diskuterat kring molnsäkerhet för en rad internationella experter.

Det är naturligvis spännande att få möjlighet att presentera det arbetet som vi lagt ner i Sverige och hur vi resonerat kring att hantera just informationssäkerhet i molnet säger Jan Branzell.

Presentationen baseras på den molnrapport som flera svenska experter arbetat fram inom ramen för det arbete som SIS gör. De standarder som finns inom ISO 27000 serien täcker in mycket av säkerhetskrav och lösningar, men många frågor finns idag just kring användning av olika molntjänster. En ökad tydlighet kring vad som är specifikt för olika molntjänster tjänar både leverantörer och användare på. Man ska inte glömma bort att hela syftet är att öka användningen och skapa ökad informationssäkerhet mha standarder.

Jag har hållit liknande föredrag i Sverige men det blir lite extra att få göra det för internationella experter bl.a. från flera av de större leverantörerna, avslutar Jan Branzell.

För mer information kontakta oss på info@veriscan.se

Säkerhet i molnet – ett seminarium som gav klarhet

Veriscan deltog den 18/4 i ett kvällsseminarium i Stockholm med bland annat Sig Security som arrangör. Området är hett och seminariet var fulltecknat på nolltid, trots att det var andra gången det hölls. Deltagarna kom främst från offentlig sektor.

Det intressanta med föredraget var att Veriscan tillsammans med jurist och talare från Data inspektionen lyckades koppla ihop molnteknik och praktiskt vad detta innebär för marknaden.

Många kallar idag ICT relaterade tjänster för molntjänster så snart de har med internet att göra. Grundfrågan är vad som egentligen definieras som molntjänst. Först då kan man börja diskutera molnsäkerhet och vilka juridiska och integritetskrav som bör ställas.

Just osäkerheten kring vem som har åtkomst till information i en molntjänst diskuterades och är en grundläggande säkerhetsaspekt. Oklarheten gör det svårt för offentlig verksamhet att använda molntjänster med tanke på lagen om sekretess avseende personuppgifter.

För att leka lite med ord så måste man se vad som är moln eller inte i dimman. Om det är ”riktiga” molntjänster så bör man som beställare vara väldigt försiktig. Man måste vara väldigt säker på att de specifika säkerhetskrav och lösningar som krävs finns på plats hos molnleverantören innan man går vidare.

Det finns mycket mer kring ”molnet” och förhoppningsvis kommer fler seminarium att anordnas.

Veriscan diskuterar Informationssäkerhet och Ekonomi vid ISACA möte i Hong Kong i april.

Veriscan har blivit inbjudna att presentera ISO/IEC 27016 vid ett ISACA möte som hålls i Hong Kong i samband med nästa ISO 27000 möte.

ISO/IEC 27016 är en ny teknisk rapport inom ISO 27000 serien som behandlar hur man kan beräkna ekonomiska kostnader och vinster inom informationssäkerhet som ett led i ISM (Informatiion Security Management).

Länk till ISACA mötet

Veriscan fördjupar arbetet inom revision av ISO 27000 serien

Veriscan har nyligen tecknat avtal om revisionsstöd för kund som innebär stöd både vid internrevision och vid tredjeparts revisioner.

Veriscan ger på detta sätt kunden en ökad kostnadseffektiv lösning. Revisionsstödet gör att kunden kan nyttja den kompetens och erfarenhet som Veriscan har dels från prestandamätningar med Veriscan Rating samt dels få tillgång till gedigen kunskap och erfarenhet från lång utveckling av informationssäkerhetsstandarder.

Veriscan har varit med om att ta fram nya ISO/IEC 27016 om informationssäkerhet och ekonomi

Veriscan är internationella editorer och lett arbetet med ta fram den första versionen av ny teknisk rapport kring informationssäkerhet och ekonomi, ISO/IEC 270016, som nu publiceras av ISO.

Området är en viktig del av ISM (Information Security Management) och ISO kommittén som bl.a. har hand om ISO 27000 serien har identifierat behovet och arbetat med att ta fram stöd för att kunna beräkna nyttan och kostnader av investeringar i informationssäkerhet.

ISO/IEC 27016 "TR Information security organizational economics" ger exempel på olika sätt att göra dessa beräkningar. Området är relativt komplext då man måste väga in effekter av möjliga vinster, i form av att man minskar risker och/eller undviker negativa händelser. Händelser som bara syns i reella ekonomiska termer ifall de inträffat.

Samtidigt som många organsiationer investerar mycket i informationssäkerhet så saknas ofta egentliga ekonomiska kalkyler. ISO/IEC 270016 kan var en startpunkt för att börja göra kalkyler utifrån olika situationer både stora som små, säger Jan Branzell som varit en av Editorerna.

Genom att aktivt arbeta med, och för, de här frågorna internationellt inom ISO ger det oss som bolag en bra plattform för att ytterligare stödja våra kunder kring resonemanget om investeringar.

För den som är intresserad finns publikationen att köpa från nationella standardiseringsorgan, SIS, Swedish Standards Institute i Stockholm eller direkt från ISO Central Secretariat, Case postale 56, Genève 20, Switzerland (Sales Department sales@iso.ch), eller från IEC Central Office, Case postale 131, CH-1211 Genève 20, Switzerland (Customer Service centre custserv@iec.ch).

Veriscan gratulerar europeisk kund till ISO/IEC 27001:2005 certifiering.

Att arbeta strukturerat och långsiktigt med införande av ledningssystem för informationssäkerhet ger resultat. En av våra europeiska kunder har nu blivit certifierade enligt ISO/IEC 27001:2005 och därmed klarat de högt ställda kraven enligt standard.

Att som organisation bli ISO/IEC 27001:2005 certifierade är inte bara en marknadsfördel utan även en styrka för den egna utvecklingen. Veriscan kommer fortsätta sitt samarbete och fortsätta bygga vidare på kundens högt ställda säkerhetskultur.

Med ett certifikat kan kunder och samarbetspartner känna sig trygga i att nödvändiga åtgärder vidtas för att skydda känslig information. Certifiering enligt global standard är en kvalitetsstämpel som många organisationer och företag använder.

Veriscan Rating mätning av informationssäkerhet ger översikt för större koncern

Veriscan har tecknat ett avtal med en större internationell koncern för att mäta nuläget inom informationssäkerhet i koncernen samt kontrollera hur företagets regelverk är implementerat.

Mätningen är en för företaget anpassad Veriscan Rating 1 och genomförs på många olika enheter inom koncernen. För ledningen är detta ett första steg i att bedöma hur koncernen förhåller sig till ISO 27000 men även till organisationens interna regelverk. Resultaten blir ett användbart redskap för beslut och åtgärder för olika chefsskikt inom organisationen inklusive högsta ledningen.

Metoden och verktyget Veriscan Rating innebär att en mätning kan genomföras snabbt på ett stort antal områden inom koncernen med hög validitet och reliabilitet. Resultaten kan jämföras mellan de olika interna enheterna och samtidigt ge ett bra underlag för direkta och effektiva prioriteringar. Användningen av Veriscan Rating möjliggör flera återkommande mätningar i framtiden.

Uppdraget kommer att i huvudsak att genomföras under slutet av 2013 och början av 2014. Fler mätningar på andra delar av koncernen i ännu fler länder kan komma under 2014 samt även uppföljningsmätningar.

Uppdraget innebär initialt att Veriscan Rating mätningarna utförs som tjänst men i ett senare läge kan även olika licensförfaranden vara aktuella.

Internationell koncern förlänger sitt avtal kring Veriscan Rating

En större internationell koncern har förlängt sitt avtal för att fortsätta använda Veriscan Rating som metod att mäta och effektivisera sin informationssäkerhet. Veriscan Rating används på flera olika områden med både standardiserade och anpassade mätprogram. Förlängningen av avtalet innebär både licens samt stödtjänster kopplade till mätning av informationssäkerhet. Användningen ger kunden både kontinuitet och effektivitet både i genomförandet av mätningar som förmåga att styra informationssäkerhetens på ett för verksamheten effektivt sätt genom tydlig rapportering och beslut om förbättringar.

Veriscan stödjer en del av en utländsk regerings ISO/IEC 27001 certifiering

Veriscan levererar delar av Veriscan ISM till organisationen som ska certifiera sig enligt ISO/IEC 27001, ledningssystem för informationssäkerhet (LIS) eller ISMS på engelska. Certifieringen är mycket tidspressad och beräknas vara klar under första kvartalet 2014. Kunden som är en särskild organisation inom en mellaneuropeisk regering har mycket hög mognadsgrad och Veriscan har kunnat stötta certifieringsprocessen dels genom att vissa delmoment i Veriscan ISM har används och dels med säkerhetsbedömningar och säkerhetsåtgärder samt i viss mån strategisk planering.

Man kan säga att vi kompletterat kunden med att agera som en tredje part med både rådgivning och leverans av konkreta tjänster. Tidplanen är mycket tight men har fungerat väl tack vare gott samarbete mellan oss, kunden och certifieringsorganet. Vi har kunnat använda både våra kunskaper inom den gamla versionen och den nya av ISO/IEC 27001:2013 vilket gör att kunden enkelt kan förnya sitt certifikat senare, avslutar Jan Branzell som är kundansvarig för uppdraget.

Kommun använder Veriscan ISM för att kunna anpassa sig till LIS (ISO/IEC 27001) och få bättre kontroll på sin informationssäkerhet

Veriscan ISM innebär bland annat att kunden kan dra nytta av de metoder och stöd som Veriscan utvecklat för att enkelt kunna införa och arbeta enligt LIS.

Vi arbetar mycket med både myndigheter och privata företag samt en del kommuner men det är extra intressant att vi nu fått uppdraget att arbeta så här målinriktat och konsekvent med en kommun, säger Lorentz Lundmark på Veriscan. En extra bonus är att vi och kunden har börjat arbeta enligt den nya 2013 versionen av ISO/IEC 27001 standarden som nyligen publicerats.

Uppdraget kommer att genomföras till större delen under 2013 men beräknas även fortgå under 2014.

Förbättra skyddet av information

Informationssäkerheten blir allt viktigare för organisationer i allmänhet och bank och försäkring i synnerhet. Att mäta skyddet av information och använda en internationell standard är två sätt att förbättra säkerheten.

I en artikel som är publicerad i branchtidningen Framtidens Bank & Försäkring uttalar sig Jan Branzell om hur Veriscan arbetar med att stödja företag och organisationer med informationssäkerhet.

Du måste ha ett strukturerat system i botten att jobba med för att skydda informationen. Den internationella ISO 27000-standarden ger ett strukturerat och effektivt arbetssätt för att förbättra skyddet av information. Genom tillämpning av standarderna förbättras också möjligheterna att externt bedöma säkerhet och revidera denna på ett enhetligt sätt.

Veriscan har en patenterad metod för mätning av säkerhetsnivån. Med en mätning får organisationen en möjlighet till tydlig målstyrning och effektivisering av arbetet med informationssäkerhet.

Jan Branzell, VD Veriscan Security AB

Framtidens Bank & Försäkring – Trender inom it, affärsutveckling och säkerhet publiceras både som magasin och som webbtidning. Läs hela artikeln där Veriscans vd Jan Branzell uttalar sig om ISO 27000 standarden och mätning av skydd.

Säkerhetsdagen Nordic IT Security 2013

Återigen deltar Veriscan på Säkerhetsdagen Nordic IT Security. Eftersom förra årets evenemang på Operaterrassen i Stockholm var så lyckad, kommer IT Security Forum tillbaka i november 2013.

Evenemanget samlar ledande IT-säkerhets proffs från hela Norden och täcker in intressanta områden för organisationer både inom den offentliga och privata sektorn. På Säkerhetsdagen kommer deltagarna få ta del av lösningar som hjälper till att skapa en framgångsrik IT-säkerhetsstrategi som uppfyller kraven på styrning, riskhantering och efterlevnad.

Kom och hör Veriscans vd Jan Branzell tala om strategi, säkerhet och efterlevnad.

Svensk-norsk säkerhetskonferens i Karlstad

Oktober är EU:s IT-säkerhetsmånad (European Cyber Security Month) enligt ett initiativ för att öka medvetandet bland medborgarna om IT-säkerhet och cyberhoten i vardagen.

Hur arbetar svenska och norska cyberförsvaret, IT-företag, myndigheter och forskare med säkerhet i allmänhet och IT-säkerhet i synnerhet? Det kommer att diskuteras på denna svensk-norska erfarenhetskonferens som hålls 24-25 oktober i Karlstad.

INTERNET OCH SÄKERHET är en konferens som presenterar verksamheter och erfarenheter från ledande aktörer inom området i Sverige och Norge. Konferensen anordnas med stöd från det svensk-norska Interreg-projektet IT och Säkerhet i Inre Skandinavien (ISIS) och Projektnätverk för digitala agendan i Östersjöregionen (DA BSR).

ISIS (IT och Säkerhet i Inre Skandinavien) är ett norsk-svenskt samarbetsprojekt som drivs av norska Kunnskapsbyen Lillestrøm och svenska Compare Karlstad.

Konferensen är kostnadsfri. Läs mer om konferensen

Fokus på informationssäkerhet och kontinuitetsplanering

Augustinumret av Tidningen Certifiering & Kvalitetssäkring, som bilaga till Dagens Industri, fokuserade denna gång på informationshantering, informationssäkerhet och kontinuitetshantering.

Veriscan har intervjuats under rubriken ”Pålitliga leveranser till kund kräver kontinuitetsplanering” där Lorentz Lundmark beskriver vad som krävs av ett företag för att kunna hantera ett allvarligt avbrott i leverans. Hela artikeln återfinns på sidan 6.

I tidningen presenteras ett antal exempel på hur organisationer och företag arbetar med kvalitetssäkring, informationssäkerhet eller hur man effektiviserar verksamheten med standarder som exempelvis ledningssystem för informationssäkerhet.

Utöver detta finns en artikel om MSB som har uppdraget att samordna stöd för skydd av information och anser att systematiskt informationssäkerhetsarbete ska vara en naturlig del av alla organisationer. Dessutom arbetar Finansdepartementet med att koppla affärsverksamhet till hållbart företagande för långsiktig lönsamhet.

Hela tidningen går att läsa här

Veriscan deltar aktivt i ISO standardiseringsarbete

Veriscan Security deltar aktivt i ISO:s standardiseringsarbete och vill här informera om de förändringar som är på gång av ISO/IEC 27001:2006 och ISO/IEC 27002:2005. Utkasten till nya revisioner är nu i status FDIS – Final Draft International Standard. De engelska versionerna kommer troligtvis att publiceras under oktober 2013, medan de svenska översättningarna dröjer ytterligare några månader.

Den nya strukturen i ISO/IEC 27001 är gemensam för alla nya och reviderade ISO standarder för ledningssystem. Texten i den nya versionen är mindre normativ, vilket ger organisationer större frihet att införa informationssäkerhet på sitt eget sätt. Antalet kapitel har ökat från 8 till 10 och kontrollerna i Bilaga A har minskat från 133 till 114.

Bland annat är kraven för mätning av effektivitet nu mer detaljerade och återfinns i § 9.1 Bilden nedan visar hur områden har bytt plats i den nya versionen av ISO/IEC 27001.

Områden som har genomgått större förändringar är bland annat PDCA-cykeln (Plan-Do-Check-Act), som nu har ersatts av begreppen ”Planning”, ”Operation”, ”Performance evaluation” och ”Improvement” samt området för riskhantering, som nu är mer enhetligt med ISO 31000 (ISO-standarden för Risk Management).

Läs mer.. Report Comparison

reviderad standard

Förflyttningar av innehåll i ISO/IEC 27001 (inspirerat av www.gammassl.co.uk)

Uppdrag för strategisk utveckling av informationssäkerhet

Veriscan har under sommaren fått ett uppdrag inom Information Security Management (ISM) till en internationell koncern. Uppdraget påbörjas under 2013 men beräknas fortgå under hela 2014.

Uppdraget är i första hand stöd till CISO (Chief Information Security Officer) för att förenkla och förbättra befintligt ledningssystem inom ramen för Veriscan ISM. Uppdraget kan sedan utökas till andra områden som Veriscan erbjuder.

Det är extra intressant att aktörer som arbetat med ledningssystem för informationssäkerhet och nu är inne i sitt förbättringsarbete ser den flexibilitet och kostnadseffektivitet som Veriscan ISM innebär, säger Jan Branzell VD.

Veriscan Rating mätningar för långsiktig styrning

Just nu genomförs Veriscan Rating hos flera företag och myndigheter.

Vi märker ett allt större intresse för att med stöd av mätning arbeta strategiskt och långsiktigt i säkerhetsarbetet. Extra glada blir vi när våra befintliga kunder rekommenderar oss till ”nya”, Johan Onerhed, marknadsansvarig, Veriscan.

Veriscan Rating är en unik patenterad metod för att mäta säkerhetsnivån i en organisation. Veriscan Rating har använts av företag, myndigheter och andra organisationer i över 10 år.

Veriscan tecknar långsiktig order kring Veriscan Rating SCADA/ICS mätningar

Ordern innebär att kunden kan använda Veriscan Rating mätningar för ett antal SCADA* (Supervisory Control And Data Acquisition) system som jämförelse och förbättringar när det gäller säkerheten. Just nu genomförs ett begränsat antal mätningar men antalet mätningar kommer att kunna utökas 2014.

Veriscan Rating SCADA mätprogram är en modul framtagen för att både kunna utgöra ett tillägg till vanliga Veriscan Rating mätningar och samtidigt utgöra basen i ett självständigt mätprogram.

Veriscan Rating SCADA mätprogrammet är baserat på olika standarder och rekommendationer såsom ISO 2700 serien, NIST, MSB osv och till viss del också utvecklad tillsammans med industrin.

*) SCADA system benämns också som ICS (Industrial Control System)

Veriscan är med i utvecklingen av den nya versionen av ISO/IEC 27003 ”ISMS Implementation”

Jan Branzell är utsedd till internationell Editor för revisionen av ISO/IEC 27003 standarder kring hur man inför ett ledningssystem för informationssäkerhet, LIS (ISMS på engelska) enligt kravstandarden ISO/IEC 27001. Jan var en av editorerna bakom den nu gällande versionen och säger:

Att få möjlighet att arbeta med revisionen, baserat på den nya versionen av ISO/IEC 27001, känns som en naturlig fortsättning och är givetvis både ett stort åtagande men även ett förtroende.

Den nya versionen av ISO/IEC 27001 beräknas komma senare under 2013. Enligt standardiseringscykeln inom ISO kommer arbetet med införandestandarden att ta ytterligare ca 1-2 år. Revisionen kan påbörjas först då man vet de exakta förändringarna i grundstandarderna.

Naturligtvis blir det intressant att följa utvecklingen och samtidigt få och ge erfarenhet till våra kunder som använder ISO/IEC 27001, fortsätter Jan.

Veriscan deltog på ”Rätt Säkerhet”

SIS arrangemang ”Rätt Säkerhet” hölls den 21 maj i Stockholm. Evenemanget var välbesökt av både branschen och av användare.

Jan Branzell höll ett kortare seminarium kring de standarder som stödjer säkerhetsåtgärder såsom ISO/IEC 27031 kring IT och kontinuitetsplanering samt ISO/IEC 27035 kring Incident hantering.

Huvuddelen av dagen handlade annars kring säkerhet gällande ”molnet” och de standarder som kommer att beröra detta. Området kompletterades av Magnus Lindqvist från Microsoft Sverige och Erik Mattson från konsumentverket. Mer information finns på www.sis.se.

ISO 27000 serien förnyas

Veriscan deltog på senaste ISO mötet i Frankrike kring utveckling av IT och informationssäkerhetsstandarder inom ISO 27000 serien.

De stora händelserna är att de grundläggande standarderna ISO/IEC 27001, som berör ledningssystem för informationssäkerhet (LIS) samt ISO/IEC 27002 kring säkerhetsåtgärder, publiceras i slutet av 2013. Att förnya globala standarder tar lång tid och det är glädjande att processen nu är klar.

Förändringarna i stort betyder att nya versionen av ISO/IEC 27001 ”LIS” kommer att följa en ny struktur som kommer att gälla för alla ledningssystem som bygger på ISO standarder. För de som använder standarderna innebär detta en viss anpassning och för de som är certifierade kommer det säkerligen att presenteras någon form av övergångstid för anpassning. Avsikten är att underlätta integrering av olika ledningssystemstandarder vilket är viktigt för användarna och varit en stor del av målet med de nya versionerna.

I takt med att allt fler standarder blir klara i ISO 27000 serien, börjar de användas. En större global mjukvaruutvecklare signalerade nyligen att de kommer att följa ISO/IEC 27034-1 kring ”Application Security” som fördjupar sig inom något säkerhetsområde. En annan standard som publiceras under 2013 är ISO/IEC 27036 del 1-3 ”Information Security for supplier relationsship”, som berör outsorcing och säkerhet vilket är en stor säkerhetsfråga för många. Del 4 av ISO/IEC 27036 gällande molntjänster kommer lite senare.

Veriscan har deltagit i standardiseringsarbetet kring ISO 27000 serien sedan år 2000 och deltar aktivt i utvecklingen både i Sverige och internationellt.

Mätningar för långsiktig styrning

En större internationell aktör har valt Veriscan Rating som lösning för långsiktiga mätningar av informationssäkerhet. Veriscan har tecknat ett långsiktigt avtal som innebär licens och stödtjänster för mätning enligt Veriscan Rating.

Vad händer inom SIS standardisering och molnet

Veriscan, som medlem i SIS TK 318, har under året jobbat med nya ISO standarder inom outsourcing och molntjänster. En inriktning för rätt säkerhet är vart man står och lite inriktning inför framtiden för att förtydliga informationssäkerhet i molnet.

Införande av Ledningssystem för informations säkerhet - LIS för myndighet

Veriscan tecknar avtal om införande av LIS enligt ISO/IEC 27000 för en större svensk myndighet.

Införandeprojektet kommer att delas in i två delar och den första fasen sker under 2013.

Veriscan gratulerar kund till ISO/IEC 27001:2005 certifiering.

Att arbeta strukturerat och långsiktigt med införande av ledningssystem för informationssäkerhet ger resultat. En av våra kunder har nu blivit certifierade enligt ISO/IEC 27001:2005 och därmed klarat de högt ställda kraven enligt standard. Att som företag bli ISO/IEC 27001:2005 certifierade är inte bara en marknadsfördel utan även en styrka för den egna utvecklingen av företaget.

Vi har under en tid stöttat vår kund med införandet av ledningssystem för informationssäkerhet och vet att de ligger långt fram gällande säkerhetsrelaterade frågor, säger Lorentz Lundmark, Veriscan.

Hela organisationen hos kunden har varit högst involverad i införandet av ledningssystemet och visat ett stort engagemang i informationssäkerhetsfrågorna.

Med ett certifikat kan kunder och samarbetspartner känna sig trygga i att nödvändiga åtgärder vidtas för att skydda känslig information. Nu tar ett ständigt förbättringsarbete vid, för att fortsätta bygga vidare på företagets högt ställda säkerhetskultur, är ett uttalande kunden gjorde efter certifieringen.

Veriscan knyter nya strategiska partnerskap med viktiga aktörer inom branschen...

Veriscan får in allt fler order på mätningar enligt Veriscan Rating. Bland annat har en svensk myndighet nu valt att mäta sig mot mätprogrammet Veriscan Rating 4. Eftersom olika typer av verksamheter har skilda krav på informationssäkerhet består Veriscan Rating-metoden av fem olika basmätprogram, så att kunden kan mäta med ett program som passar just sin organisation. Veriscan Rating 4 är anpassad för verksamheter som har höga krav på tillgänglighet och sekretess men som också har ett behov av hög grad av spårbarhet i de transaktioner som utförs i system och kommunikationer.

Det är flera myndigheter som arbetar regelbundet med att metodiskt analysera sin informationssäkerhet. Genom regelbundna mätningar så fångar man förbättringar över tid och förändringar. Långsiktigheten och Veriscan Rating ger en unik möjlighet till en enkel återrapportering av en komplex fråga till ledning och olika intressenter.

Veriscan rekommenderar - effektiv riskhantering!

Veriscan rekommenderar ett endagarsseminarium om hur du skyddar din information baserat på riskhantering samt hur ISO 27000 serien av standarder kan stödja vid outsourcing.

Jan Branzell VD för Veriscan och ordförande i SIS arbetsgrupp kring säkerhetsåtgärder redogör för det aktuella läget av befintliga och kommande standarder som berör outsourcing.

Arrangör: SIS, Swedish Standards Institute, Datum: 6 december 2012 i Stockholm.

Säkerhet i "molnet" är ännu i sin linda definitionsmässigt men ett ökat intresse från leverantörer av så kallade molntjänster och/eller traditionell ICT outsourcing inriktade på molntjänster är ett tydligt segment där förfrågan på säkerhet ökar.

Här är vikten av att jobba med standarder viktig. Vi har fördelen av att ligga långt framme i arbetet både med existerande standarder inom ISO 27000 serien och kommande standarder. Under senaste halvåret har arbetet intensifierats och Veriscan är med i standardutvecklingen både inom den arbetsgrupp som jobbar speciellt med informationssäkerhet för outsourcing och cloud-frågan samt även inom "privacy" och "Identity management", inom SIS Tekniska kommitté samt ISO internationellt.

Vi tror att vi kommer att se mer på standardiseringsområdet inom kort då det hastar på eftersom marknaden ligger före, enligt Jan Branzell, VD på Veriscan och som bl.a. leder en av arbetsgrupperna inom SIS kring den här frågan.

Frågan om vikten av att företag planerar för att säkerställa sin leveransförmåga har blivit mer och mer aktuell. Det är viktigt att arbetet inte bara blir en "pärm" utan kännetecknas av en pragmatisk syn på förmågan att leverera i ett allt känsligare IT-beroende samhälle. För många av våra kunder så är kontinuitetsfrågan en strategisk fråga där ledningens engagemang börja bli allt mer tydlig.

Vi har lång erfarenhet och ett välutvecklat verktyg för kontinuitetsplanering med en tydlig grund i "verkligheten" är en av orsakerna till att vi under senaste tiden markant ökat vår kundkrets, säger Lorentz Lundmark som ansvarar för Veriscans BCM lösningar.

Införande av Ledningssystem för informations säkerhet - LIS

ISO 27000 seriens genomslagkraft ökar och förutom att vi nu har ett antal projekt som ligger i slutfas för certifiering så är det också flera nya organisationer som planerar för certifiering.

Att arbeta strukturerat med metoder och verktyg för att göra certifieringen mot ISO/IEC 27001 så verksamhetsstyrd som möjligt är en framgångsfaktor för våra kunder, säger Anna Anderson, en av Veriscans projektledare.

Veriscan växer utanför Sveriges gränser

Vi kan stolt meddela att Veriscan Security AS nu etablerats i Norge. Veriscan Security AS består idag av Tom Losnedahl (VD) och Rune Ask (Styrelseordförande), två välmeriterade informationssäkerhetsprofiler i Norge.

Våra kollegor har bred och lång erfarenhet av säkerhetsarbete inom en rad olika branscher bland annat offentlig verksamhet, finansmarknad, IT och telekom, konsultverksamhet, olja & gas och shipping, både i Norge och internationellt.

Rune Ask är certifierad CISA och CISM och har mångårig erfarenhet av standardiseringsarbete inom säkerhet både i Norge och internationellt. Rune kommer senast från Den Norske Veritas som IT Security Risk & Compliance Manager.

Tom Losnedahl har bakgrund från norska Försvaret, och har efter att blivit civilist bland annat 6 års erfarenhet som CISO i olja & gas branschen. Han kommer senast från Telenor-bolaget Canal Digital AS som Director IT Services & Operations.

Veriscan Security AB och Veriscan Security AS adderar på detta sätt unik kompetens, med synergier inom såväl marknad, resursdelning och kompetens. Veriscan Security AS kommer använda de svenskutvecklade tjänsterna i Norge och därigenom utvidga Veriscans nedslagsplats i Norden. Vi ser med tillförsikt på det ökade behovet på marknaden inom området informationssäkerhet, säger VD Jan Branzell, Veriscan Security AB i Karlstad.

Etableringen av Veriscan Security AS i Norge visar på att Veriscan har ett gott renommé både i Sverige och internationellt. Veriscan har under många år utvecklat standardiserade tjänster och produkter inom informationssäkerhet vilket Veriscan Security AS nu kan leverera i Norge.

Mätning av informationssäkerhet genom Veriscan Rating är fortfarande unik men även efterfrågan av kontinuitetsplanering är stor bland norska kunder. Veriscans verktyg BCM kommer bli otroligt värdefullt, spår de båda norska kollegorna Tom och Rune.

Det årliga internationella seminariet Rätt säkerhet den 14 maj i Stockholm arrangerades av SIS. Seminariet Rätt säkerhet var i år en direkt förlängning av ett stort internationellt ISO möte kring utvecklingen av ISO 27000 serien med ca 330 deltagare från hela världen, mer info finns på SIS webb. Evenemanget var välbesökt och Veriscan deltog som sponsorer och utställare. Vi fick tillfälle att presentera hur vi kan stödja våra kunder i deras arbete för en långsiktig säkerhet av information bl.a. med grund i ISO 27000 serien. Framförallt väcker vår metod för mätning, Veriscan Rating stort intresse.

Under dagen höll Jan Branzell föredrag om Ditt startkit för systematiskt och effektivt säkerhetsarbete samt om Outsourcing - även i Molnet!?. Jan Branzell är även aktiv som ordförande i SIS/TK 318 AG 41 Säkerhetsåtgärder och -tjänster. Även vår medarbetare Hans Hedbom som är ordförande SIS/TK 318 AG 51 Integritetsskydd och ID-hantering presenterade en del av arbetet med tillitsramverk för autentisering under rubriken "Har du rätt till det här och hur mycket måste jag lita på dig?"

I övrigt presenterades ny gemensam struktur för ISOs ledningssystemstandarder och Sveriges nya nationella handlingsplan för samhällets informationssäkerhet. Även internationella säkerhetsexperter deltog i diskussioner ur ett globalt perspektiv.

Seminariet Rätt säkerhet som vände sig till ansvariga för informationssäkerhet och IT-säkerhet inom offentlig eller privat sektor t.ex. i rollen som informationssäkerhetsansvarig, CIO, CSO, Risk manager eller IT-revisor.

Veriscan deltog vid Computer Swedens heldag om informationssäkerhet den 16 februari 2012 på Grand Hotel i Stockholm.

Fokus för dagen var strategiskt riskarbete. Under dagen presenterades ett Veriscan case om Volvo IT ISO 27000 certifiering.

Vi kan konstatera att många var intresserade av mätmetoden Veriscan Rating som anses som unik och ett mycket användbart verktyg för just utvärdering och uppföljning av informationssäkerhet. Att få kontroll över sin informationssäkerhet var ett stående budskap under dagen.

Veriscan stödjer finansiellt bolag i sitt arbete med BCP/BCM. Veriscan stödjer kunden med kontinuitetsplanering genom att nyttja Veriscans metoder och verktyg.

Ytterligare en fas avslutad - stöd för införande och certifiering mot ISO 27001 Veriscan har under 2011 haft uppdraget att stödja fortsatt införande av ISO/IEC 27001 - den internationella standarden för informationssäkerhet, hos en av Sveriges största IT-tjänsteleverantörer. Avtalet, som slöts för ca ett år sedan, innebar att stödja en utökning av ISO-certifieringen till ytterligare siter i ett antal olika världsdelar. Målet är nu uppnått inom de tidsramar som sattes upp och med ett mycket bra resultat.

Det har varit och är mycket tillfredsställande att se hur bra organisationen presterar inom området och det är dem väl förunnat att kunna skörda marknadsfördelarna som det nu mer globala certifikatet ger dem.

Arbetet, som i ett tidigt skede omfattade mätning av informationssäkerheten på aktuella siter, har fortlöpt helt enligt den tidplan beslutades vid uppstarten av projektet. Att kunden i och med detta nu har ett globalt perspektiv på sitt ledningssystem bereder vägen för ytterligare utökning men med ett behov av arbetsinsats som är betydligt mindre än tidigare, säger Daniel Krantz, Veriscans projektledare.

För mer information om ISO 27000 serien: SIS