IT-sikkerhed skal leve i alle organisationens lag
"Vi sidder med meget værdifuld data, både fra os selv og vores kunder, og det er vores fornemmeste opgave at holde disse data sikre. Det kræver meget at skabe en bevidsthed om IT-sikkerhed i en hel virksomhed - og det er Nikolaj en central del af her i Visma Enterprise," udtaler Morten Nørgaard Larsen, direktør for Visma Enterprises udviklingsafdeling.
IT-sikkerhed er en stor del af det daglige arbejde i vores organisation. Vi har derfor bl.a. et Security- og Compliance-team, som hver dag arbejder med vores IT-sikkerhed og er med til at “oplære” alle Visma Enterprises medarbejdere i IT-sikkerhed, hvad end de sidder med vores kunders eller vores egne medarbejderes data.
I denne beretning kan du læse nærmere om det dedikerede arbejde, det kræver at drive en IT-sikker virksomhed. Ønsker du at gå helt i materien og blive klogere på de kontroller og processer, som bl.a. sikrer os vores ISAE 3402 type 2-revisoreklæring, så kan du læse mere om det her
Et naturligt pres på os som leverandør
I Safety- and Compliance-teamet sidder blandt andre Nikolaj Weber som Data Protection Manager & Information Security Officer. Hans daglige arbejde består af at sikre, at vi som organisation arbejder IT-sikkert - både når vi arbejder med vores kunders og vores egne data.
"Fordi vi beskæftiger os inden for løn- og HR-området, så ligger der helt naturligt et forventningspres fra vores kunder, som siger; det er I nødt til at have styr på. En del af at have styr på det er at have en strategi og en plan for IT-sikkerheden - både til behovet lige nu og her, men også til fremtiden,” fortæller han.
"Vores fokus på IT-sikkerhed starter allerede, når en medarbejder træder ind af døren på deres første dag."
En strategi, der giver genlyd i hele organisationen
Den informationssikkerhedsstrategi, Visma Enterprise følger, er udformet med en tanke på at være synlig gennem hele organisationen, nævner Nikolaj:
“Vi har et ledelsesystem, som skal sikre, at IT-sikkerhed, informationssikkerhed, ikke bare er noget, et par enkelte topchefer og en enkelt informationssikkerhedsofficer beskæftiger sig med, men at det er noget, der giver genlyd ud i hver krog af organisationen. Det betyder også, at mit job bl.a. er at sørge for, at der er nogle helt konkrete værktøjer og foranstaltninger, alle medarbejdere kan bruge i det daglige for at være gode på det her område."
At være IT-sikker i praksis
At tage del i Visma Enterprises’ sikkerhedsstrategi er relevant for alle medarbejdere, allerede fra deres første møde med os:
“Vores fokus på IT-sikkerhed starter allerede, når en medarbejder træder ind af døren på deres første dag. En del af nye medarbejderes onboarding er et møde med mig, hvor jeg fortæller om, hvordan man begår sig IT-sikkert på arbejdspladsen, og hvorfor det er så vigtigt."
Ud over et møde med Nikolaj kan både nye og erfarne medarbejdere flere gange om året blive mødt med falske phishingmails i deres indbakke, som har til formål at træne dem til at spotte scams og potentiel IT-kriminalitet.
“De falske phishingmails, der bliver sendt ud til alle medarbejdere, leder også op til nogle af de årlige træninger, jeg faciliterer - det kan være inden for f.eks. GDPR- eller compliance-awareness. Én gang om året kommer jeg også rundt i selskabet med en præsentation af, hvad der sker i informationssikkerhedsudviklingen, og hvor Visma Enterprise befinder sig henne. Den årlige awareness-træning suppleres også med mindre kampagner i løbet af året.”
De fysiske rammer
Visma Enterprise har kontorpladser i Vismas bygninger i Carlsberg Byen og Aalborg, og her spiller de fysiske rammer også en rolle i IT-sikkerheden;
“Alle medarbejdere bærer adgangskort til bygningen, og der er koder på visse rum, som kun tilhører bestemte afdelinger. Og så vil jeg også gerne slå et slag for den bevidsthed, jeg generelt kan se lever i organisationen - der er ingen løse papirer, der flyder på skriveborde, og der bliver altid spurgt ind og lavet et grundigt tjek, hvis en medarbejder beder om adgang til et system. Det er en fornøjelse at opleve, at jeg sjældent behøver komme forbi med en løftet pegefinger, for medarbejderne er enormt gode til at være opmærksomme på at begå sig IT-sikkert.”
“Vi får ret grundig træning i IT-sikkerhed gennem året, og så er Nikolaj også af og til med på vores afdelingsmøder for at gøre os endnu bedre til at spotte scam og falske mails og blive mere bevidste om potentielle risici.”
- Filip Andreasen, medarbejder hos Visma Enterprise
Vi lader vores procedurer og processer stå for skud
Visma Enterprise samarbejder med PwC, som hvert år aflægger et besøg hos os for at auditere, om vi følger de gældende regler og foranstaltninger for sikkerhed.
“To af de audits, PwC laver hos os, er revisionserklæringerne, ISAE3000 og ISAE3402, og den sidste er vores ISO-certificering. Min opgave under disse audits er først og fremmest at sørge for, at de har fået tilsendt al den vigtige dokumentation, de skal bruge, på forhånd. Det er altså alle vores procedurer og politikker for IT-sikkerhed. Disse procedurer fungerer så egentlig som afsæt for det, de kommer og auditerer os for; altså, overholder vi nu også de foranstaltninger, vi siger, at vi gør? Efterlever vi procedurerne? Og når de så har tjekket, at vi gør, så får vi fornyet vores erklæringer og certificering. Det er et kvalitetsstempel for os - både indadtil, men også udadtil når eksisterende eller potentielle kunder undersøger, om Visma Enterprise har et tilstrækkeligt niveau inden for IT-sikkerhed og compliance,” udtaler Nikolaj.
Penetrationstests af egne systemer
En anden foranstaltning, Visma Enterprise gør for at sikre, at der ikke sker brud på IT-sikkerheden, er penetrationstests af vores egne systemer. Penetrationstests skal afsløre, om systemerne er sårbare for f.eks. hackerangreb eller datalæk.
“Visma har et uafhængigt team af sikkerhedsfolk, som blandt andet også kan udføre disse penetrationstests. Penetrationstestene planlægges i samarbejde med os for at sikre, at f.eks. nye funktionaliteter eller andre ændringer og opdateringer i systemerne ikke har introduceret nye sikkerhedsmæssige sårbarheder. Efter disse tests får vi så udleveret en rapport på de fund, testerne har gjort sig - som, 7, 9, 13, kun har været i småtingsafdelingen indtil videre.”
Disse jævnlige penetrationstests fremgår også som en procedure i vores sikkerhedspolitikker, der bliver sendt til PwC, når de skal auditere os; “så sender jeg også rapporterne fra testene til PwC forinden vore auditering som dokumentation for, at de er blevet udført i vores systemer,” siger Nikolaj.
Men hvor bevæger IT-sikkerhed sig hen i fremtiden?
Præcis hvor IT-sikkerhedsfeltet bevæger sig hen i fremtiden, kan Nikolaj ikke pege på, men han har dog nogle gisninger om, hvilke fokusområder virksomheder fremover bliver påkrævet at have.
“Lige nu er AI (kunstig intelligens, red.) jo mere hot end nogensinde før, især efter at ChatGPT hurtigt er blevet allemandseje, men jeg er overbevist om, at vi ser ind i en fremtid med fokus på at være mere på forkant med disse nye teknologier - fordi det går så lynende stærkt på dét marked lige nu. Folk som mig, der arbejder med informationssikkerhed, vil helt sikkert opleve det som en del af deres hverdag i fremtiden - at være opmærksom på nye teknologier og de potentielle risici, de rummer. Heldigvis understøttes mit arbejde med at være på forkant af et særdeles professionelt sikkerhedsteam placeret i Visma Group,” afslutter han.
Måske vil du også være interesseret i...
IT-sikkerhed og compliance i Visma Enterprise
EU-dommen om tidsregistrering
Løngennemsigtighed: Tre områder, I bør få styr på