Tjenester innenfor IT sikkerhet

Tjenester innenfor IT sikkerhet
Photo by Tyler Franta / Unsplash

Jeg leverer blant annet følgende tjenester:

Sikkerhetsarkitektur

Teknisk prosjektledelse for å sikre on-prem og skymiljøer med grunnleggende funksjoner:

Backup og restore samt testing av restore av i så nært produksjonsmiljø som mulig, planlegging for disaster recovery, logging og monitorering av logger for å få innsikt i hendelser og kunne være tidlig ute med å jobbe proaktivt med hendelser, tilgangsstyring mot sentral IAM løsning som Azure og on-prem AD, kryptering at-rest og in-transit med offentlig tiltrodd PKI eller oppsett og vedlikehold av interne PKI løsninger, etablering og dokumentasjon av policier og rutiner for alle viktige oppgaver slik at dette er skrevet tydelig ned og kan utføres av hvem som helst med de rette tilgangene, DevSecOps med overvåking av miljøer og leveranser samt sikkerhet og sårbarheter i CI/CD, Zero Trust implementering med segmentering av nettverkssoner med brannmurregler mellom soner og på de enkelte servere eller tjenester inkludert korrekte rettigheter osv.

Vurdering av 3de parts leverandører

Vurdering av 3de parts leverandører på hvordan de sikrer løsningen de leverer. Avklare risikoelementer og vurdere leverandøren på en helhetlig måte for å få et innblikk i risikoer leverandøren kan bringe med seg; slik som manglende offline backup som kan være katastrofalt ved et kryptovirus angrep med leverandøren.

Arbeidet kan baseres på Cloud Security Alliance sin CAIQ eller forenklede versjoner: https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4

Modenhetsvurdering

Vurdering av modenhet til bedriften innenfor it sikkerhet. Dette gjøres gjennom å fylle ut en egenutviklet modell i Excel. Modellen er basert på hovedelementer fra ISO27001 samt CIS Controls mappet mot Capability Maturity Modell. Det gis en vurdering av eksisterende modenhet i nivåene ad-hoc, initial, capable, repeatable og efficient/optimized, som er det øverste nivået, opp mot hva kunden har definert som modenhetsmålene innenfor hver kategori. Etter oppdraget får kunden beholde sin versjon av excel arket med modellen for å følge opp egen utvikling videre.

Dette tilbyr jeg fastpris på: 35.000 + mva

Tidsforbruk: ca tre dager.

Risikovurdering

Risikovurdering av løsninger og leverandører basert på kundens rammeverk eller offentlig tilgjengelige rammeverk.

Oppbygging av ISMS

Oppbygging av Information Security Management System - ISMS basert på kundens sektor, lovkrav og egen risikoappetitt.

Sikring av løsninger opp mot NIS2

Vurdering og sikring av løsninger og underleverandører opp mot NIS2 som er på vei til å bli lovfestet: https://www.regjeringen.no/no/sub/eos-notatbasen/notatene/2021/feb/nis2-direktivet/id2846097/

Kryptering og kvantemigrasjon

Kartlegging av eksisterende krypteringsmekanismer for in-rest og in-transit, herunder symmetriske og asymmetriske mekanismer, sertifikater, sertifikat typer og TLS cipher suites. Fremleggelse av forslag for endringer på systemer og løsninger for å kunne møte kvantedatamaskiner sine muligheter for å avlytte og endre data.

Vurdering av web-sikkerhet og epost-sikkerhet

Vurdering av sikringen rundt webside; hvilke risikoer eksisterer for kunder som benytter websiden og er de meste effektive sikkerhetstiltakene skrudd på? Er websiden kompatibel med sikkerhets mekanismene som moderne browsere benytter seg av?

Dette kan sjekkes av alle og det er forholdsvis enkelt å gjøre noe med: https://nrkbeta.no/2016/03/30/slik-undersokte-nrk-offentlige-nettsteder/

Har epost løsningen de påkrevde sikkerhetsmekanisme for å unngå at angripere sender falske eposter fra bedriftens ansatte, eller er epost løsningen utsatt for spoofing som i verste fall fører til at det betales falske regninger til angripere?