Hoppa till huvudinnehåll

Skydda verksamhetens resurser och varumärke

Informationssäkerhet är ett strategiskt arbetssätt för att skydda verksamhetens resurser och varumärke strategiskt. Vi hjälper och vägleder dig med analyser, metodstöd och lösningar för att uppnå ert behov av en säker verksamhet.

Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid.

Informationssäkerhet är inte en fråga enbart för it-avdelningen. Det är företagets resurser och varumärke som behöver skyddas.

Tjänster inom informationssäkerhet

It-rättsjurist

It-rättsjuristen har en djup kunskap och lång erfarenhet inom både juridik, informationssäkerhet och verksamhetskännedom och är en naturlig länk mellan verksamhetens behov och regelefterlevnad.

Få hjälp med – förutom individuell juridisk rådgivning i enskilda frågeställningar som:

  • nulägesanalyser/gap
  • avtalsgranskning
  • ledningsgenomgång
  • rättsutredning
  • cyber- informationssäkerhet
  • säkerhets genomlysning och Risk Management.

Ni erhåller våra rekommendationer och kan efter era egna förutsättningar fatta genomtänkte beslut som passar er verksamhets- it-strategi och framtida utveckling.

Våra it-rättsjurister har primärt hela Sverige som arbetsfält men vi samarbetar också med våra nordiska grannländer i de fall det rör sig om gemensamma regleringar som t.ex. GDPR.

 

Startklar Kontinuitet

Startklar Kontinuitet förbereder och motiverar verksamheter och organisationer att påbörja informationssäkerhetsarbetet.

Vi genomför en scenariobaserad övning som för deltagarna är en relevant händelse, hur händelsen påverkar organisationen och hur de ansvariga med ledande befattningar bör vara delaktiga i det framtida förebyggande arbetet. 

Syftet är att få ledningen att förstå varför de ska vara delaktiga och målet är att ni ska känna nyttan av informationssäkerhet och förstå er roll. Vi hjälper er att identifiera vilka styrkor och utvecklingsområden ni har och hur ni kan arbeta proaktivt för att förhindra potentiell skada, till exempel en incident och vilken påverkan den kan ha på er verksamhet. 

Upplägg

För att förstå er organisation, utmaningar, mål och mognad gör Atea intervjuer med nyckelpersoner i verksamheten. Baserat på informationen skapar vi en scenariobaserad övning under en halvdags workshop där er organisation sätts på prov hur de hanterar en eller flera incidenter. Baserat på workshopen görs en analys av er verksamhet och en rapport sammanställs som ni kan använda som underlag för ert initiala informationssäkerhetsarbete.

  • Tidsintervall: Från intervju till rapport = Cirka 30 dagar
  • Förberedelser: Fyra timmar med er organisation – 1 vecka att förbereda övning
  • Övning: Halvdag
  • Rapport: 1-2 veckor efter workshop

 

Security Roadmap

En Security Roadmap utgår från de största och mest prioriterade riskerna för just din verksamhet och hur de fördelas mellan människan, processen och tekniken i hela din organisation, från ledning och verksamhet till it. Till det beskrivs åtgärder på hur riskerna kan hanteras för att minimera chansen att ni drabbas av incidenter.

Resultatet presenteras i ett förslag på i vilken ordning och under vilket tidsintervall de olika lösningarna kan realiseras och implementeras. Detta skapar handlingskraft för att arbeta med säkerhetsutmaningen och är anpassad för er organisation utifrån era verksamhetsmål och de behov de medför med såväl operativ, som taktisk och strategiskt perspektiv.

Utöver handlingsplanen så får ni mätbara värden på ett stort antal säkerhetsförmågor som sedan kan följas upp över tid för att se att insatserna ger förbättringar över tid.

Säkerhetsskyddsanalys

Den nya säkerhetsskyddslagen trädde i kraft 1 april 2019. Lagen tydliggör skyldigheterna för alla som bedriver säkerhetskänslig verksamhet eller hanterar säkerhetskyddsklassificerade uppgifter. Lagen påvisar krav på förebyggande åtgärder för att skydda Sveriges säkerhet, bland annat vikten av att genomföra säkerhetsskyddsanalyser.

Atea hjälper er med alla steg i säkerhetsskyddsanalysen där målet är att klargöra vilka säkerhetskänsliga och/eller säkerhetsskyddsklassade uppgifter en verksamhet behandlar. Ni får full kontroll över processen och genomförande. Genomförande utförs med ett metodstöd som hjälper er med att kontinuerligt kunna fortsätta genomföra ett systematiskt arbete med säkerhetsskyddsanalys – helt i transparens med övrigt riskanalysarbete enligt krav från bland annat Säkerhetspolisen, Försvarsmakten och MSB.

Säker väg till molnet

Säker väg till molnet riktar sig till dig som ska börja använda en molntjänst eller funderar på att flytta verksamhetssystem till molnet. Syftet är att fånga upp och genomföra de informationssäkerhetsmoment som måste göras för att en organisation ska använda molntjänster på ett genomtänkt sätt.”

Informationssägaren bör säkerställa att molnleverantören hanterar informationen i enlighet med de krav som ställs externt i form av lagar och förordningar samt internt i form av till exempel styrande dokument.

Resultatet blir en sammanställning av de legala krav som gäller samt vilka risker som finns rörande en förflyttning till molntjänsten.

Innehåll

  • Säkerhetsstrategi: Vi skapar en övergripande säkerhetsstrategi för att hantera molntjänster.
  • Kravinventering: Vi inventerar och sammanställer de krav som gäller för er verksamhet.
  • Informationsklassificering: Vi värderar och klassificerar information utifrån kraven för att avgöra vilken information som är lämplig för molntjänsten.
  • Risk- och sårbarhetsanalys: Vi identifierar vilka risker som finns för att hantera information på ett korrekt sätt baserat på lagar och krav.
  • Revision av befintlig implementation av molntjänsten.
Säker väg till AI

Säker väg till AI (artificell intelligens) är utvecklad för dig som planerar att införa en AI-tillämpning, Copilot eller ChatGPT till exempel. Arbetet baseras på ”Säker väg till molnet” med kartläggning av information, klassning, risk/åtgärdsanalys.

Det som skiljer arbetena åt är att extra fokus läggs på:

  • AI:ns input, det vill säga vilken information får delas med AI:n och i vilken omfattning får denna information föras vidare.
  • AI:ns output, dvs det som skapas av tillämpningen, vilket inte sällan är nya sorters informationsmängder.
  • De risker som uppstår i samband med att det nya verktyget införs, till exempel på vad som får användas som input och hur AI:n får användas.

AI ger oss fantastiska möjligheter men vi behöver även här införa nya tillämpningar på ett riskmedvetet sätt.

Innehåll

  • Säker väg till molnet
  • Utökad Risk- och sårbarhetsanalys: Vi identifierar vilka risker som finns för att hantera information på ett korrekt sätt baserat på lagar och krav.
  • AI-policy: Ett regelverk för organisationen att förhålla sig till i användandet av AI.
Ledningssystem för informationssäkerhet (LIS)

Ledningssystem för informationssäkerhet (LIS) fungerar som ett stöd för styrning av informationssäkerhetsarbetet i din verksamhet. Det ger er riktlinjer och förutsättningar för ett strukturerat och systematiskt informationssäkerhetsarbete.

LIS är den del av ledningssystemet som styr informationssäkerheten i verksamheten. LIS grundar sig på den globala standarden i ISO/IEC 27000-serien som omfattar informationssäkerhet, riskanalyser, fysisk, teknisk och organisatorisk säkerhet. Det innebär att metodiken är dokumenterad, etablerad och accepterad av experter inom området samt att den kontinuerligt uppdateras.

LIS består av flera områden som bidrar till att det systematiska informationssäkerhetsarbetet förbättras.

Ledningens engagemang och resurser från avdelningen är förutsättningarna för ett lyckat införande samt att målbilden är realistisk.

 

NIS och NIS2

Under 2018 kom ett EU-direktiv med syfte att uppnå en hög gemensam cybersäkerhetsnivå för nätverks- och informationssystem; NIS-direktivet (The Directive on Security of Network and Information Systems); för samhällsviktig verksamhet. I slutet av 2022 beslutade EU om ett nytt och bredare direktiv, NIS2, som träder i kraft under 2025 i form av den svenska Cybersäkerhetslagen.

Till skillnad från GDPR handlar NIS inte om persondata utan om nätverk och it-säkerhet och stor vikt läggs på incidentrapportering, riskanalyser och skyddsåtgärder.

NIS-direktivet syftar till att skapa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk- och informationssystem inom unionen, i syfte att förbättra den inre marknadens funktion och skapa en mer robust it-infrastruktur.
 

 

GDPR

Vi hjälper din verksamhet med ert GDPR arbete och erbjuder både enklare utbildningar för din verksamhet till kompletta genomföranden, implementeringar av skyddsåtgärder, granskningar av efterlevnad (GDPR audit) och DPOaaS (dataskyddsombud som tjänst).

Vi gör det oavsett var ni står i processen och vårt fokus är att verksamheten självständigt ska klara av att visa hur de följer GDPR. Vi gör detta genom att utbilda och genomföra arbetet tillsammans med verksamheten och därmed möjliggöra att kunskapen överförs från konsulten till er.

 

 

INFORMATIONSSÄKERHETSMÅNADEN: TÄNK SÄKERT

Öka kunskapen om hur du skyddar verksamheten på bästa sätt - följ oss under oktober och läs vår bloggserie om informationssäkerhet.

CIS-ramverk för cybersäkerhet

Center for Internet Security CIS Controls består av 18 rekommendationer för cybersäkerhet och defensiva åtgärder som kan hjälpa till att förhindra de mest genomgripande och farliga attackerna och stödja efterlevnad.

CIS-ramverk för cybersäkerhet

Kontakt

Carl-Johan Ekelund
Carl-Johan Ekelund
Security Team Lead