For selskaper som leverer skyprogramvare, er sikkerhet en enorm prioritet. Som servicedesk-leverandør, sitter vi på mye sensitiv data fra kundene våre. Den er det vårt ansvar å forvalte trygt.
Det er ingen tvil om at trusselbildet utvikler seg. Én av tre kommuner har blitt utsatt for dataangrep, og det er grunn til å vokte seg mot både kommersielle og statlige aktører.
Vi er neppe de eneste som har mange brukere i det offentlige. Når vi ser hvordan det offentlige Ukraina ble slått ut av et dataangrep, får vi kjenne på kroppen hvor viktig sikkerhetsarbeidet vårt er. I næringslivet er det dessuten mange som er redde for ransomware, eller å havne på feil side av GDPR-lovgivningen.
Så, fra noen som sitter på den digitale frontlinjen – hvordan sikrer vi at brukerne våre alltid kan føle seg trygge?
Datasikkerhet ivaretatt gjennom hele utviklingsprosessen
– Kundene våre putter mye sensitiv informasjon i systemet vårt. Vi har bygget roller og system for å bestå testen den dagen ting ikke er helt i orden, sier Jørn Erik Hornseth, CISO i Pureservice.
Pureservice er utviklet med utgangspunkt i Secure Software Development Lifecycle (SSDL). Det vil si at for hvert skritt i utviklingsprosessen, prioriteres sikkerhet og testing. Vi følger også OWASP topp 10-retningslinjene, for å beskytte mot de vanligste truslene.
Hvert år får vi en av Norges fremste aktører på datasikkerhet til å utføre en omfattende penetrasjonstest for å oppdage eventuelle svakheter i systemet.
All data er selvsagt kryptert ved både lagring og transport, og alle kunder har sine data i en egen, separat database, uten koblinger til andres.
Tjenesten overvåkes kontinuerlig (uten at vi kan lese dine data), med et CSIRT (Computer Security Incident Response Team) som håndterer alle sikkerhetshendelser det øyeblikket vi oppdager noe.
– Det er konstant forsøk på innbrudd når du driver et system som Pureservice, men det er som regel kommersielle aktører som skyter med hagle, og de er heldigvis lette å stoppe, forteller Jørn Erik.
Er du interessert i å lese mer i detalj om hva slags tiltak vi gjør, anbefaler vi at du tar en kikk på Trust-siden vår. Her finner du svar på et høyere nivå, ment for CTO, CISO og andre med mye kunnskap om datasikkerhet.
Beskyttelse mot menneskelige feil: Rutiner og ansatte
– Hackere er ikke nødvendigvis verdens smarteste folk, men de er slu. Det handler vel så mye om å lure folk til å oppgi info, som teknisk hacking av sårbarheter i selve løsningen, sier Jørn Erik.
Det betyr at blant våre viktigste datasikkerhetstiltak er rutinene våre ansatte følger, samt en grundig sikringsprosess og opplæring hver gang vi ansetter nye. Vi følger blant annet prinsippene og beste praksisene fra ISO27001 i alt vi gjør.
– Statsaktører er proffe og utspekulerte, og kan bruke et halvt år på å få en liten fot innenfor. Når vi ansetter og snakker om sikkerhet, poengterer vi det hele tiden: Mistenk det verste i verden, og vær ekstremt på vakt, sier Jørn Erik.
Det er likevel en kjensgjerning at når viktige systemer går ned, er det ofte ikke et bevisst angrep som ligger bak. Vel så vanlig er en glipp fra egne ansatte, som likevel fører til kostbare tilgjengelighetsbrudd. Det er også noe vi jobber mye med å unngå.
Skulle uhellet likevel være ute, enten det er ansatte eller ondsinnede aktører som står bak, har vi lagt tydelige beredskapsplaner for å rydde opp i ting snarest mulig. Vi har heldigvis ikke opplevd noen store hendelser ennå, men hvis det skjer, er vi parate.
Har du andre spørsmål om sikkerhetstiltak du ikke finner svar på her eller på Trust-siden vår, må du ikke nøle med å kontakte oss. Vi mener transparens er viktig (så lenge det ikke går på bekostning av sikkerhet), og svarer gjerne på det meste du lurer på.
Skrevet av Marius Jones
Få en gratis demonstrasjon
Vi er opptatt av at du skal få den beste opplevelsen når du prøver Pureservice. Derfor kan vi skreddersy din gratisversjon etter ditt behov, slik at du umiddelbart får den beste opplevelsen.
