…

 

Sikkerhedsaudit for offentlig sektor

Borgernes data fortjener dokumenteret sikkerhed

I forvalter borgernes oplysninger. Sundhedsdata, skatteoplysninger, sociale sager, byggetilladelser. Data, som borgerne stoler på, at I beskytter.

Samtidig er offentlige myndigheder mål for angreb. Ransomware mod kommuner, statssponserede angreb mod styrelser, phishing mod medarbejdere med adgang til følsomme systemer.

En uvildig sikkerhedsaudit giver jer overblik over, hvor I står, og dokumentation til at vise, at I tager ansvaret alvorligt.

Hvorfor er offentlig sektor et mål?

Offentlige organisationer er attraktive mål af flere grunde:

Store mængder følsomme data: Borgernes personoplysninger, sundhedsdata, økonomiske forhold. Data, der har værdi for kriminelle og fremmede stater.

Samfundskritiske funktioner: Når en kommune rammes, kan borgere ikke få pas, byggetilladelser eller sociale ydelser. Det skaber pres for at betale løsesum.

Komplekse IT-miljøer: Mange systemer, mange leverandører, mange integrationer. Kompleksitet skaber sårbarheder.

Ressourcepres: IT-afdelinger, der skal holde driften kørende med begrænsede midler. Sikkerhed konkurrerer med andre opgaver.

De seneste års angreb mod kommuner og offentlige institutioner viser, at truslen er reel. Og konsekvenserne rammer ikke kun organisationen, men de borgere, I er sat i verden for at betjene.

Hvad er en sikkerhedsaudit for offentlig sektor?

En sikkerhedsaudit er en systematisk gennemgang af jeres IT-sikkerhed. Vi kigger på teknik, processer og mennesker for at give jer et samlet billede af, hvor I er sårbare.

For offentlige organisationer har auditten særligt fokus på:

• Beskyttelse af borgernes data
• Sikkerhed i fagsystemer og integrationer
• Leverandørstyring og afhængigheder
• Beredskab og evne til at gendanne efter angreb
• Overholdelse af lovkrav og sektorspecifikke krav

I får en rapport med konkrete fund og prioriterede anbefalinger, I kan bruge som grundlag for beslutninger og investeringer.

Læs mere om cybersikkerhedsaudit.

NIS2 og offentlig sektor

NIS2-direktivet omfatter dele af den offentlige sektor. Offentlig forvaltning er specifikt nævnt som en væsentlig sektor.

Det betyder skærpede krav til:

• Risikostyring og sikkerhedsforanstaltninger
• Håndtering og rapportering af hændelser
• Forretningskontinuitet og krisestyring
• Leverandørstyring
• Ledelsens ansvar og involvering

En sikkerhedsaudit giver jer overblik over, hvordan I ligger i forhold til NIS2-kravene, og hvad I skal prioritere.

Læs mere om NIS2-audit.

Hvad kigger vi på?

En audit tilpasses altid jeres organisation. Men for offentlige myndigheder er der typisk fokus på:

Fagsystemer: ESDH, økonomisystemer, fagsystemer til sagsbehandling. Er de opdaterede? Er adgangen styret korrekt? Hvordan er de integreret?

Borgernes data: Hvordan er persondata beskyttet? Er der kontrol med, hvem der tilgår hvad? Kan I dokumentere det?

Leverandører: Hvem har adgang til jeres systemer? Hvilke afhængigheder har I? Hvad sker der, hvis en kritisk leverandør bliver ramt?

Adgangsstyring: Hvem har adgang til hvad? Hvordan håndteres det, når medarbejdere skifter job eller stopper?

Backup og gendannelse: Kan I gendanne data og systemer efter et angreb? Hvornår testede I sidst?

Beredskab: Har I en plan for håndtering af sikkerhedshændelser? Ved alle, hvad de skal gøre?

Læs mere om teknisk sikkerhedsgennemgang.

Leverandørstyring i offentlig sektor

Offentlige organisationer har typisk mange leverandører. Fælleskommunale systemer, nationale løsninger, lokale leverandører, cloud-tjenester.

Hver leverandør med adgang til jeres data eller systemer er en potentiel risiko. NIS2 stiller krav om, at I vurderer og dokumenterer sikkerheden hos jeres leverandører.

En audit kan inkludere vurdering af jeres kritiske leverandører og hjælpe jer med at stille de rigtige krav.

Læs mere om leverandøraudit.

Den menneskelige faktor

Teknik er kun en del af sikkerhed. Mange angreb starter med en medarbejder, der klikker på et link, åbner en vedhæftning eller lukker den forkerte ind.

En audit kan suppleres med test af, hvordan jeres medarbejdere reagerer på forsøg på manipulation.

Læs mere om cybersecurity mystery shopping.

Erfaring fra offentlig sektor og kritisk infrastruktur

Jeg har arbejdet med sikkerhed i offentlige organisationer og kritisk infrastruktur i mere end 30 år. Miljøer, hvor sikkerhed handler om mere end virksomhedens bundlinje.

Offentlige myndigheder: Styrelser og institutioner med ansvar for borgernes data og samfundskritiske funktioner. Miljøstyrelsen er blandt mine referencer.

Kritisk infrastruktur og forsyning: Organisationer, hvor et angreb kan ramme tusindvis af mennesker. Fortrolighed er en naturlig del af arbejdet, så jeg kan ikke nævne navne.

Finanssektoren: Danske Bank og EDC, hvor kravene til sikkerhed, compliance og dokumentation er blandt de højeste i erhvervslivet.

Den erfaring betyder, at jeg forstår de særlige vilkår i offentlig sektor: politisk opmærksomhed, borgernes forventninger, komplekse beslutningsprocesser og ressourcepres.

Sådan foregår en sikkerhedsaudit for offentlig sektor

1. Indledende møde
   Vi starter med at forstå jeres organisation, jeres systemer og jeres bekymringer. Hvad vil I gerne have svar på?
2. Gennemgang
   Jeg gennemgår jeres systemer, processer og dokumentation. Omfanget afhænger af, hvad vi har aftalt.
3. Rapport
   I får en skriftlig rapport med konkrete fund, vurderet efter alvorlighed, og prioriterede anbefalinger.
4. Præsentation
   Hvis I ønsker det, kan jeg præsentere resultaterne for ledelse, direktion eller politisk udvalg.

Det får I med en sikkerhedsaudit hos Nielco IT

• Uafhængig vurdering af jeres IT-sikkerhed
• Fokus på de særlige risici i offentlig sektor
• Konkrete fund og prioriterede anbefalinger
• Dokumentation til ledelse, direktion eller politisk niveau
• Grundlag for at prioritere ressourcer og investeringer
• Sparring med en specialist med erfaring fra offentlige myndigheder og kritisk infrastruktur

Få overblik over jeres sikkerhed

Ring på 70 13 63 23 eller udfyld formularen.

Så tager vi en snak om jeres situation og finder ud af, hvad en audit kan give jer.