Din totalleverandør av IT-sikkerhet

Sikkerhetsrådgivning

Custos styrker sikkerhetsarbeidet i din organisasjon

I en tid med stadig økende risiko for digitale angrep fra cyberkriminelle er det viktigere enn noensinne å ha kontroll på sikkerhetsarbeidet. Lovgivende myndigheter i EU/EØS har som resultat av dette skjerpet kravene til samfunnskritiske virksomheter, som igjen må stille de samme kravene til sine samarbeidspartnere og underleverandører.

For at virksomhetene skal være i samsvar med disse kravene kreves det at virksomhetsledelsen må forstå sitt ansvar og sørge for aktiv styring, forståelse og tydelig ansvarsfordeling. Det må etableres robuste planer, prosesser og rutiner for å sikre at virksomheten er klar dersom digitale verdier blir truet eller kommer på avveie. Med de nye kravstillingene må flere virksomheter enn tidligere kunne dokumentere og bevise at de har robuste sikkerhetstiltak på plass.

Atea Custos er et sett med verktøy og tjenester som bistår virksomhetene med å identifisere, bearbeide og forbedre elementene i sikkerhetsstyringen for å møte nye sikkerhetskrav fra myndigheter, samarbeidspartnere, kunder eller leverandører.

Vi starter prosessen med en analyse som kartlegger modenhetsnivåene på kontrolltiltak og prosesser innenfor «governance, risk and compliance» (GRC), Analysen avdekker virksomhetens nå-situasjon ved å vurdere sikkerhetsprosesser, styringsverktøy og prosedyrer. Videre kartlegges hvordan virksomheten har operasjonalisert teknologiene som benyttes, og hvilke funksjoner som er etablert for å kunne identifisere og håndtere situasjoner som kan true den digitale sikkerheten.

Etter analysen tilpasser vi tjenestene i Custos etter behov, og kan bistå med ROS-analyser, BIA, BCP, vCISO-tjenester og etablering av- og trening i beredskapsplaner og hendelseshåndtering. Alt for å sikre robusthet og kontinuitet, og for å sikre at virksomheten opererer i samsvar med kravstillingene.

Vi tester sikkerheten til din virksomhet

Et dynamisk trusselbilde gir stadig sikkerhetsutfordringer. For å beskytte virksomheten trenger man å endre tankegangen rundt sikkerhet. Penetrasjonstesting snur rundt på tilnærmingen rundt sikkerhet ved å ta en angripers perspektiv for å identifisere sikkerhetshull, sårbarheter og svakheter i deteksjonsevne. Målet er å etterligne taktikker, teknikker og prosedyrer angriperne benytter for å få et bilde over hvor man burde legge vekt i sikkerhetsarbeidet.

En penetrasjonstest er ikke begrenset til IT systemer, men kan gjennomføres på alle områder hvor det er en risiko for at cyberkriminelle får tilgang. Dette kan eksempelvis være ICT systemer, webapplikasjoner, infrastruktur, lukkede miljøer og fysisk sikkerhet. Disse testene blir gjennomført basert på anerkjente rammeverk som PTES, OWASP, NIST, eller andre rammeverk som er tilspisset testens omfang.

Penetrasjonstesterne jobber i et virtuelt landsdekkende team og bistår virksomheter i både inn- og utland med å teste en rekke ulike systemer. Våre høyt sertifiserte og erfarne sikkerhetskonsulenter gjennomfører simulerte, manuelle og målrettede angrep for å gjennomgå virksomhetens resiliens mot cyberangrep. Etter endt penetrasjonstest vil penetrasjonstesterne sette sammen en rapport som inneholder anbefalte tiltak til videreutvikling og forbedring. Rapporten vil også belyse eksisterende implementasjoner som har hjulpet med å begrense teknikker benyttet i løpet av penetrasjonstesten.

Reduser risikoen for cyberangrep – og konsekvensene

Custos styrker sikkerhetsarbeidet i din organisasjon

Økt risiko for digitale angrep og strengere krav fra EU/EØS stiller høyere forventninger til virksomheters sikkerhetsarbeid, også hos samarbeidspartnere og leverandører. For å etterleve kravene må ledelsen ta et tydelig ansvar for styring, rollefordeling og dokumentasjon av sikkerhetstiltak. Det må etableres robuste planer, prosesser og rutiner for å sikre at virksomheten er klar dersom digitale verdier blir truet eller kommer på avveie.

Atea Custos er et sett med verktøy og tjenester som bistår virksomhetene med å identifisere, bearbeide og forbedre elementene i sikkerhetsstyringen for å møte nye sikkerhetskrav fra myndigheter, samarbeidspartnere, kunder eller leverandører.

Vi starter prosessen med en analyse som kartlegger modenhetsnivåene på kontrolltiltak og prosesser innenfor «governance, risk and compliance» (GRC). Analysen avdekker virksomhetens nå-situasjon ved å vurdere sikkerhetsprosesser, styringsverktøy og prosedyrer. Videre kartlegges hvordan virksomheten har operasjonalisert teknologiene som benyttes, og hvilke funksjoner som er etablert for å kunne identifisere og håndtere situasjoner som kan true den digitale sikkerheten.

Etter analysen tilpasser vi tjenestene i Custos etter behov, og kan bistå med ROS-analyser, BIA, BCP, vCISO-tjenester og etablering av- og trening i beredskapsplaner og hendelseshåndtering. Alt for å sikre robusthet og kontinuitet, og for å sikre at virksomheten opererer i samsvar med kravstillingene.

Vi tester sikkerheten til din virksomhet

Penetrasjonstesting snur rundt på tilnærmingen rundt sikkerhet ved å ta en angripers perspektiv for å identifisere sikkerhetshull, sårbarheter og svakheter i deteksjonsevne. Målet er å etterligne taktikker, teknikker og prosedyrer angriperne benytter for å få et bilde over hvor man burde legge vekt i sikkerhetsarbeidet.

En penetrasjonstest er ikke begrenset til IT systemer, men kan gjennomføres på alle områder hvor det er en risiko for at cyberkriminelle får tilgang. Dette kan eksempelvis være ICT systemer, webapplikasjoner, infrastruktur, lukkede miljøer og fysisk sikkerhet. Disse testene blir gjennomført basert på anerkjente rammeverk som PTES, OWASP, NIST, eller andre rammeverk som er tilspisset testens omfang.

Penetrasjonstesterne jobber i et virtuelt landsdekkende team og bistår virksomheter i både inn- og utland med å teste en rekke ulike systemer. Våre høyt sertifiserte og erfarne sikkerhetskonsulenter gjennomfører simulerte, manuelle og målrettede angrep for å gjennomgå virksomhetens resiliens mot cyberangrep. Etter endt penetrasjonstest vil penetrasjonstesterne sette sammen en rapport som inneholder anbefalte tiltak til videreutvikling og forbedring. Rapporten vil også belyse eksisterende implementasjoner som har hjulpet med å begrense teknikker benyttet i løpet av penetrasjonstesten.

Mistenker du at din virksomhet er utsatt for et dataangrep?

Vårt IRT team består av høyt sertifiserte og erfarne sikkerhetskonsulenter med bred faglig kompetanse. Konsulentene er spesialister på hendelseshåndtering og har dyp innsikt i gjeldende trusselbilde. Vi har lang erfaring med å etterforske og bistå kunder med å håndtere alt fra kompliserte og lang-varige hendelser, som f.eks. løsepengevirus (ransomware) angrep, til mindre hendelser, som f.eks. phishing-forsøk og brukeridentitet på avveie. 

Våre hendelseshåndterere kan bistå med å samle, analysere og håndtere bevis for å kunne fastslå konsekvens og omfang av hendelsen, begrense skade og gjenopprette til normal drift så raskt og effektivt som mulig. Vi kan også bistå med og tilby rådgivning med avviksrapport til Datatilsynet og anmeldelse til Politiet. I etterkant vil vi foreslå tiltak for forbedring av sikkerhetsløsningene. 

Vårt Incident Response Team (IRT) inngår i Nasjonal Sikkerhetsmyndighets godkjennelsesordning for hendelseshåndtering og er medlem av FIRST - Forum of Incident Response and Security Teams, et internasjonalt anerkjent forum for hendelseshåndtering