Finansinstitusjon og vurderer Ironstone's løsninger?

Finansinstitusjoner og banker er ofte underlagt strenge regulatoriske krav og vil derfor gjerne vite hvordan våre løsninger kan bidra til å oppfylle disse. Nedenfor finner du vanlige spørsmål og hvordan de kan besvares etter implementeringen av Ironstone sine løsninger.

Hvilke kontroller er på plass for å bekjempe løsepengevirus-angrep?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Backup: Vi har automatisk synkronisering av alle PC-er til skyen for kontinuerlig sikkerhetskopiering av data og rask gjenoppretting. Ved ransomware-angrep kan vi sette opp nye enheter på under én time, noe som sikrer minimal nedetid. I tillegg kopieres kritiske data i skyen daglig til en tredjepartsleverandør, som lagrer disse med ubegrenset retensjon for ekstra sikkerhet hvis lagret data har blitt infisert.

Retningslinjer og prosedyrer: Vi gjennomfører regelmessige phishing-simuleringer og sikkerhetsopplæring for å øke bevisstheten blant ansatte og redusere risikoen for angrep.

Retningslinjer for software: Alle enheter er utstyrt med Microsoft Defender, og alle sikkerhetsoppdateringer tvangsgjennomføres for å sikre at systemene er beskyttet mot kjente sårbarheter. Vi bruker også en passordhåndterer som sikrer bruk av sterke passord og beskytter mot tasteloggingsangrep. På maskiner bruker vi "phishing-resistant MFA" som Windows Hello eller FIDO-nøkler.

Skyløsninger: Våre skytjenester er beskyttet med Multi-Faktor Autentisering (MFA) på alle kontoer og bruk av "phishing-resistant MFA" for ekstra sikkerhet. Vi har strenge tilgangskontroller, inkludert separasjon av vanlige og privilegerte kontoer, tidsbegrenset tilgangsstyring med høyeste autentiseringsnivå, og et strengt regime for å kun bruke laveste mulig tilgang når vi jobber inn mot systemer eller kunder (principle of least privilege). Alle data og systemtilganger krypteres ved hjelp av de nyeste krypteringsteknologiene.

Intrusion Detection Systems: Vi benytter et avansert Intrusion Detection Systems (IDS) som er integrert med vårt Security Information and Event Management (SIEM) system for å overvåke og oppdage uvanlige aktiviteter i sanntid. Vi innhenter data fra alle Microsofts Defender-produkter for å så risikovurdere alle hendelser. Mistenkelige aktiviteter utløser en alarm som går direkte til vårt sikkerhetsteam som begynner å jobbe med hendelsen innen en time. Sikkerhetsteamet analyserer hendelsen, stanser eventuelle angrep, finner ut av rotårsaken, og avslutter med å lage en hendelsesrapport som kan deles med offentlige myndigheter hvis nødvendig.

Forutsetninger:

Backup: Alt dette er tilgjengelig i IT for Dine Ansatte hvis du også kjøper tillegget "Backup" for dine brukere.

Retningslinjer og prosedyrer: Vi kan bistå våre kunder som kjøper våre produkter med å lage en beredskapsplan som dekker kompromitterte kontoer, malware, ransomware, og tap av systemtilgang. I tillegg til dette så er det mulig å få satt opp regelmessige phishing-simuleringer og sikkerhetsopplæring som et tillegg til "IT for Dine Ansatte".

Retningslinjer for software: Tilgjengelig for kunder med "IT for Dine Ansatte", tillegget "Keeper" (passordshåndterere), og Windows Hello på PC-er og FIDO-nøkler på MAC-brukere.

Skyløsninger: Tilgjengelig for kunder med "IT for Dine Ansatte". Vi setter også opp tidsbegrenset tilgangsstyring med høyeste autentiseringsnivå hvis kundene har tilstrekkelig høye lisenser (P2).

Intrusion Detection Systems: Alt dette er en del av produktet "Utvidet sikkerhet".

 

Hvilke kontroller er på plass for ansatte som jobber eksternt?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Fleksible arbeidsordninger: Alle konsulenter og administrasjonsansatte har muligheten til å jobbe fra hvor som helst i verden, uten å være avhengig av et fysisk kontor. Vår Zero Trust sikkerhetsmodell sikrer at alle nødvendige ressurser og systemer er trygge og tilgjengelige uansett lokasjon.

Sikker tilgangskontroll: Vi bruker "phishing resistant" Multi-Faktor Autentisering (MFA) på alle kontoer. Tilgang til systemer er begrenset til når det er nødvendig, og brukerne må autentisere seg med de høyeste sikkerhetsstandardene, inkludert MFA og hardwarenøkler, for å få midlertidig tilgang til sensitive systemer.

Kryptering og databeskyttelse: Alle enheter som brukes av ansatte, inkludert bærbare PC-er, er kryptert med den nyeste krypteringsteknologien for å beskytte data mot tyveri eller kompromittering. Kritiske kundedata er også kryptert og sikkerhetskopiert til en tredjepartsleverandør for å beskytte mot tap og muliggjøre rask gjenoppretting.

Regelmessig sikkerhetsopplæring og bevisstgjøring: Ansatte deltar i kontinuerlige sikkerhetstreningsprogrammer og simulerte phishing-angrep, som øker bevisstheten om sikkerhetsrisikoer ved fjernarbeid og forbedrer evnen til å identifisere og unngå potensielle trusler.

Automatisert enhetsstyring og oppdateringer: Alle enheter administreres sentralt av et dedikert enhetsstyringsteam som sikrer at oppdateringer og sikkerhetspatcher blir tvangsgjennomført på operativsystemet og 800 andre standardapplikasjoner. Dette reduserer risikoen for sårbarheter som kan utnyttes av angripere.

Flere kommunikasjonskanaler: For å sikre kontinuitet i kommunikasjon, bruker partneren vår flere kommunikasjonskanaler som kan aktiveres raskt dersom en av metodene blir utilgjengelig, noe som opprettholder produktivitet og samarbeid selv ved omfattende sikkerhetshendelser.

Forutsetninger:

Fleksible arbeidsordninger: Selv om Ironstone ikke benytter det, så har våre "IT for Dine Ansatte"-kunder har muligheten å bestemme hvis de ønsker at vi setter opp sperrer for bruk av applikasjoner, enheter, eller skytjenester som forhindrer bruk utenfor gitte regioner som f.eks. jobbens nettverk, Norge, eller Europa.

Sikker tilgangskontroll: Settes opp for alle kunder av "IT for Dine Ansatte". Hvis kunde ønsker tidsbestemt tilgang til systemer så må systemene være i skyen, samt så er kunde nødt til å ha P2-lisenser på brukerne som skal benytte denne funksjonaliteten. 

Kryptering og databeskyttelse: Tilgjengelig for alle kunder med "IT for Dine Ansatte" og "Backup".

Regelmessig sikkerhetsopplæring og bevisstgjøring: Tilgjengelig som tillegg til "IT for Dine Ansatte".

Automatisert enhetsstyring og oppdateringer: Tilgjengelig for alle kunder med "IT for Dine Ansatte". Oppdateringer av kundespesifikke applikasjoner må bestilles og deretter pakkes før de sendes ut som en oppdatering til alle enheter.

Flere kommunikasjonskanaler: Dette er ikke noe som er en del av det vi selger, uten en del av vår plan for å hjelpe kundene ved omfattende sikkerhetshendelser.

 

Hvor lagres PRA-data?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

All data lagres i skyen for enkel tilgang, kontinuerlig backup, og skalerbarhet. All data som lagres i skyen er kryptert ved hjelp av den nyeste krypteringsteknologien for å sikre beskyttelse mot uautorisert tilgang og datatyveri. I tillegg kopieres viktige data til en tredjepartsleverandør som tar flere daglige sikkerhetskopier. Dette gir ekstra beskyttelse mot regional nedetid i skyen, feilendringer, eller tap av data, og muliggjør gjenoppretting fra forskjellige tidspunkter.

Spesifikke leverandører:
Atlassian Confluence, Microsoft, AvePoint

Oppgi om skyleverandørene/tredjeparter innehar ISO 27001 eller tilsvarende sertifisering:
Atlassian Confluence: Atlassian, selskapet bak Confluence, er ISO 27001-sertifisert. Sertifiseringen dekker deres skybaserte produkter, inkludert Confluence Cloud, og indikerer at de har implementert et informasjonssikkerhetsstyringssystem (ISMS) i samsvar med ISO 27001-standardene.

Microsoft Cloud Services: Microsoft Cloud Services, inkludert Microsoft Azure, Microsoft 365 er ISO 27001-sertifisert. Microsoft har omfattende sikkerhetstiltak og samsvarserklæringer for å sikre at deres skytjenester oppfyller ISO 27001 og andre internasjonale standarder for informasjonssikkerhet.

AvePoint: AvePoint er ISO 27001-sertifisert. De tilbyr løsninger for databeskyttelse, styring, og samsvar som integreres med Microsoft 365, og de følger ISO 27001-standardene for informasjonssikkerhet i sine produkter og tjenester.

Forutsetninger:

Tilgjengelig for kunder med "IT for Dine Ansatte" og tilleggstjenesten "Backup".

Vi vet ikke hvor dere har PRA-data. Så vi har besvart denne opp mot data er plassert på enheter og i Microsoft sin skyplattform (OneDrive, SharePoint, Teams).

 

Hvem i selskapet deres har tilgang til PRA-data, og hvordan kontrolleres og overvåkes denne tilgangen? Samt er tilgangen til systemene basert på prinsippet om minst mulig privilegium og rollebasert tilgang?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Separasjon mellom vanlige og privilegerte kontoer: Vi har spesifikke kontoer i tillegg til vanlige kontoer for å minske bruken av kontoer som har høyere privilegerte tilganger enn vanlige brukere.

Tilganger kun når vi virkelig trenger dem: Vi bruker funksjonalitet som gjør at vi må aktivere tilganger når vi virkelig trenger dem. Når vi skal aktivere disse så må vi autentisere oss med høyeste mulige faktor. Dette betyr at vi må godkjenne innlogging med "phishing resistant"-MFA. Tilgangene som vi blir gitt etter dette er kun tidsbegrenset innen brukerne mister tilgangen igjen.

Dataklassifisering: Vi bruker Microsoft Information Protection for å anvende tagger på filer og dokumenter, som deretter styrer hvem som har tilgang til dem. Alle sikkerhetsgrupper som gir tilgang til beskyttede filer, revideres kontinuerlig ved hjelp av Entra ID Access Reviews for å sikre at personene med tilgang er de riktige.

Forutsetninger:

Tilgjengelig for kunder med "IT for Dine Ansatte" og tilstrekkelig høy lisens for automatisert Microsoft Information Protection (P2).

 

Har dere en prosess på plass for å gjennomføre regelmessige gjennomganger av brukertilgangsrettigheter for systemet deres?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger: 

Ja det har vi. På tilganger inn mot dokumenter og filer som er blitt dataklassifisert.

Forutsetninger:

Tilgjengelig for kunder med "IT for Dine Ansatte" og tilstrekkelig høy lisens for automatisert Microsoft Information Protection (P2).
Det er også mulig å få ytterligere hjelp av Ironstone for å få satt opp Access Reviews på andre sikkerhetsgrupper enn de som håndterer klassifiserte filer.

 

Hva er deres prosess for håndtering av brudd på informasjonssikkerhet?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger: 

Sikkerhetsteamet vårt opererer på en roterende vaktbasis og tilbyr 24/7 beskyttelse. Vi overvåker kontinuerlig sikkerhetshendelser ved hjelp av Microsoft Sentinel og Microsoft XDR, samt alarmer fra Microsofts interne sikkerhetsteam. Dette sikrer at mulige sikkerhetstrusler identifiseres og håndteres umiddelbart, uavhengig av tidspunkt på døgnet eller dagen i året.

Ved enhver sikkerhetshendelse utarbeides detaljerte hendelsesrapporter for å dokumentere hva som skjedde, hvilke tiltak som ble iverksatt, og eventuelle nødvendige forbedringer for å forhindre fremtidige hendelser. Hendelsesrapportene er utviklet for å enkelt kunne deles med offentlige myndigheter eller leverandører hvis nødvendig.

Forutsetninger:

Leveres til alle kunder med "Utvidet sikkerhet". 
Som tidligere nevnt så lager vi ikke noen beredskapsplan til våre kunder som en del av denne løsningen, men vi har mulighet å bistå våre kunder med å utarbeide en slik per timesbasis.

 

Har dere en dokumentert standard eller prosess for håndtering av hendelseslogger?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger: 

Ja, det har vi.

Forutsetninger:

Kunder av "Utvidet sikkerhet" får hendelsesrapporter på sikkerhet, mens kunder av "Dine IT-systemer" får samme opplegg, men da også opp mot drift på systemene.

 

Gjennomfører dere sårbarhetsvurderinger?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Ja, det gjør vi. Flere ganger per år.

Forutsetninger:

Som en del av "IT for Dine Ansatte" "Dine IT-systemer" og "Utvidet sikkerhet" så utfører vi som en del av den vanlige driften flere gjennomganger av miljøet i løpet av året.

 

Bruker dere en krypteringsløsning for å sikre at PRA-data er kryptert både i hvile og under overføring?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Ja. På Microsofts skyplattform og AvePoint (sikkerhetskopier) er lagret data kryptert med industristandard AES-256-kryptering, mens data under overføring beskyttes med seneste versjonen av TLS 1.2.

Microsoft og AvePoint håndterer Ironstone's krypteringsnøkler.

Forutsetninger:

Må være kunde på "IT for Dine Ansatte" og ha tillegget "Backup"

 

Har alle PC-er antivirusprogramvare?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Ja, det har dom. Vi bruker Microsoft Defender.

Forutsetninger:

Må være kunde på "IT for Dine Ansatte".

 

Har selskapet deres en passordpolicy som stiller krav til passordkompleksitet, hvor ofte passord må endres, og som forhindrer brukere i å dele ID-er/passord?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Ja. I tillegg så blir brukeren stengt ute etter 10 mislykkete forsøk.

Brukere trenger aldri å endre passord.

Forutsetninger:

Leveres til alle "IT for Dine Ansatte"-kunder

 

Forbyr selskapet deres overføring og/eller lagring av begrenset eller konfidensiell informasjon på bærbare lagringsenheter?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Ja det gjør vi. Vi har deaktivert bruk av USB på alle enheter og så har vi aktivert Microsoft Information Protection som forhindrer at brukere kan lese/bruke filer som har blitt tatt ut av systemet hvis de etterpå fjernes fra sikkerhetsgruppen som gir dem tilgangen.

Forutsetninger:

Alle kunder av "IT for Dine Ansatte" har muligheten å velge hvis vi skal fjerne muligheten for USB på enhetene. I tillegg til dette så setter vi opp Information Protection på de kundene som ønsker det (og har lisens). Information Protection forhindrer at brukere kan lese/bruke filer som har blitt tatt ut av systemet hvis de etterpå fjernes fra sikkerhetsgruppen som gir dem tilgangen.

 

Hva er deres prosess for håndtering av mistet maskinvare?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Vi begynner med å blokkere tilgangen til selskapets systemer og data gjennom fjernsletting (remote wipe) for å sikre at sensitive data ikke blir kompromittert. Deretter rapporterer hendelsen internt og eventuelt til politi.

Forutsetninger:

Leveres til alle "IT for Dine Ansatte"-kunder

 

Hva er deres prosess for håndtering av begrensede og konfidensielle data ved slutten av deres livssyklus?

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Vi har en policy satt på alle prosjekter og gammel data som ligger på SharePoint, Teams, eller liknende samhandlingsløsninger. Denne policy sletter all data etter et gitt intervall.

Forutsetninger:

Leveres til alle "IT for Dine Ansatte"-kunder

 

Vennligst beskriv deres kontroller og prosesser for rapportering av databrudd.

Slik kan dere svare etter implementeringen av Ironstone sine løsninger:

Vi har en sikkerhetspartner som overvåker og oppdager uvanlige aktiviteter i sanntid. Alle data fra Microsofts Defender-produkter samles inn og risikovurderes kontinuerlig. Ved oppdagelse av mistenkelige aktiviteter utløses en alarm som umiddelbart sendes til sikkerhetsteamet, som begynner å håndtere hendelsen innen en time.

Sikkerhetsteamet analyserer hendelsen, stopper eventuelle angrep, identifiserer rotårsaken og utarbeider en detaljert hendelsesrapport. Dersom hendelsen kvalifiserer som et databrudd, vil denne rapporten bli delt med relevante offentlige myndigheter i samsvar med gjeldende lovverk og krav.

Forutsetninger:

Tilgjengelig for kunder av "Utvidet sikkerhet".