I dag forventer vi at teknologien skal fungere optimalt døgnet rundt. Programvaren og infrastrukturen, prosessen og verktøyene må være tilgjengelige. Hele tiden. Samtidig skal bedriftens IT-sikkerhet være ivaretatt.

Når du velger et ERP-system i skyen, vil gjerne en sertifisert leveringsmodell for styringssystem for informasjonssikkerhet være tilknyttet dette. Med et nettbasert ERP-system, ligger derfor mye av ansvaret for datasikkerhet hos leverandøren din. Men. Ikke glem de viktige tiltakene du selv kan implementere i bedriften. For eksempel:

• Opplæring i forbindelse med passordhåndtering og passord-manager.
• Hvis passordet ditt kommer på avveie, sørger to-faktor autentisering for at det samme ikke skjer med selve brukerkontoen.
• Sørg for intern kunnskap om phishing-angrep.
• Ha et bevisst forhold til data back up.

Hva er en leveransemodell av styringssystem for informasjonssikkerhet?

Punktene over er enkle grep som ikke bare styrker bedriftens IT-sikkerhet, men som også ruster dere til å vite hvordan dere skal handle dersom uhellet er ute.

Bedriftens leveransemodell skal levere på de mer avanserte områdene.  Det er leveransemodellen som sørger for bedriftens styringssystem for informasjonssikkerhet og som er kvalitetsrammeverket for hvordan en skytjeneste utvikles og drives. Et eksempel på en slik leveransemodell er VCDM (Visma Cloud Delivery Model).

VCDM er ISO-sertifisert og sørger blant annet for at skytjenesten din oppdateres med feilrettinger og funksjonalitet løpende. Så hva innebærer det for IT-sikkerheten?

Les mer: Krav og regler til leverandør av IT-sikkerhet i skyen.

Leveransemodellen VCDM og betydningen av ISO 27001-sertifisering

VCDMs sertifiseringer innebærer at leveransemodellen har et informasjonssikkerhetssystem som er bygd på internasjonale anerkjente standarder.

• ISO 27001 oppfyller krav for å etablere, implementere og vedlikeholde et styringssystem for informasjonssikkerhet.
• ISAE3402 Type II rapport viser leverandørens evne til å etterleve informasjonssikkerhetsstyrings- og kvalitetssystemet.

Les mer: Se sertifiseringene her.

Dermed er det ikke bare systemer og prosesser som er på plass, men også eksterne revisorer som kommer inn flere ganger i løpet av året og kvalitetssikrer at systemet og prosessene følges.

Hvis du for eksempel lurer på hvem som får tilgang til bedriftens data gjennom leveransemodellen, er dette noe av det som kontrolleres av eksterne revisorer. Selve systemet har verktøy som logger hvem som har tilgang, når, hvor lenge og hvor mye data de har tilgang på. Revisorene går inn og sjekker disse loggene. De sjekker rett og slett at sikkerhetskontrollene og prosessene som skal være der, er fulgt og logget korrekt.

Les mer: Derfor velger norske bedrifter å jobbe i skyen.

Hvordan fungerer leveransemodellen VCDM i et ERP-system?

For å oppnå tilgjengeligheten som er så viktig for en bedrift, må systemene overvåkes nøye. Leverandøren av systemet ditt må være godt forberedt når noe skjer, og være godt trent på hva som skal gjøres i situasjoner hvor det oppstår et problem. Årsaken til hvorfor problemet oppstod må også analyseres, for å minimere risikoen for at noe lignende skjer igjen.

Automatiseringen i en skytjeneste gjør at leverandøren din kan reagere og hjelpe på en mer effektiv måte enn tidligere. Ved at oppdateringer og feilsøk skjer kontinuerlig, responderer og løser systemet feil raskere når et problem først oppstår.

Andre sikkerhetsfordeler med VCDMs leveranse:

• Programvaren som utvikles, tredjepartsprodukter og produksjonsmiljø, skannes regelmessig. På den måten oppdages potensielle sårbarheter, slik at utviklingsteamene kan handle raskt.
• Dokumentasjon, som for eksempel revisordokumenter og sikkerhetsdokumentasjon, er en viktig del av leveransen som systemleverandører står for.
• De ansatte som jobber med utvikling og leveranser rundt sikkerhet, får utdanning og kursing, slik at de blir gode på å identifisere og redusere sikkerhetssårbarheter. Her kommer de tiltakene som du selv kan implementere, i forbindelse med for eksempel  passordhåndtering og kunnskap om digitale angrep, godt med slik at dette er kunnskap som hele tiden vedlikeholdes internt i bedriften.

Dette er bare noen av sikkerhetsfordelene som VCDM leverer på. En leveransemodell for styringssystem for informasjonssikkerhet handler altså ikke bare om verktøy og automatisering, men også hvordan modellen bidrar til å ivareta kunnskap og kompetanse om sikkerhet hos de ansatte.