Informasjonssikkerhet

Informasjonssikkerhet er også en del av Service Integration and Management (SIAM)

En vesentlig del av et multi leverandør landskap er å ha oversikt over hvilke tjenester man kjøper av hvilke leverandører og hvordan disse tjenestene brukes av virksomheten. Hva er så den store utfordringen? Hva har ITIL i sitt rammeverk?

Når det kommer til informasjonssikkerhet og ITIL handler dette om hvordan konfidensialitet, integritet og adgang til informasjon som behandles av den enkelte rolle eller funksjon. Det handler også om sikkerhets design, testing og kontroll. Hva bidrar således SIAM med i denne relasjonen?

Hvordan og hvem sikrer kontinuerlig kontroll i henhold til lover, forskrifter og regler for behandling av regulert informasjon? Hvordan er fordelingen av ansvar? Hvordan styres og forvaltes kjente krav og nye krav når bedrifter tenker mer og mer digitalisering og sky baserte løsninger og leverandør landskapet endrer seg raskere og raskere?

Informasjonsdeling

Leverandører er avhengig av enten direkte eller indirekte tilgang til virksomhets informasjon og informasjonssystemer for å utføre avtalte oppgaver.

Virksomheter skal ha fysisk og / eller logisk tilgang til leverandørers informasjon når produksjons- og leveranseprosesser skal kontrolleres eller overvåkes.

Konsekvenser av stadige endringer er at både virksomheten og leverandører kan forårsake sikkerhetsrisikoer for hverandre.

I tillegg betyr dette at denne form for risiko også må vurderes i forhold i relasjon til begges kunder og andre interessenter.

Software Asset Management

En kjent problemstilling er også at leverandører varsler om «end of life» på definert software og avslutter support uten at virksomheter nødvendigvis oppgraderer eller skifter ut denne.

Service Integration and Management

Hva er det så vi søker i SIAM sammenheng? Det er her vi kan benytte ITIL rammeverket, og ta dette til neste nivå. Dette kan gjøres gjennom å ha strukturer i egnet Service Management verktøy og funksjoner som forstår sammenhengen mellom Software Asset Management, Asset Management, Information Security Management, Access Management, Supplier Management samt hvordan knytte relasjoner mellom disse områdene.

Risikostyring:

Risikostyring av informasjonssikkerhets må derfor være en del av enhver virksomhets hverdag. All risiko skal være vurdert og behandlet for å sikre gjennomføring av hensiktsmessige tiltak. Dette innebærer også å styre risiko, hvilke tiltak som er besluttet og så kunne spore at dette er noe som blir ivaretatt skal være en del av alle virksomheters hverdag.

Tilsvarende er det om en sikkerhetskontroll avdekker huller i en tjenesteleveranse fra en leverandør som korrigeres med en fix. Deretter skal det sikres og kontrolleres etter endring og at brukere faktisk er oppe på ny versjon og at dette er verifisert.

Våre leveranser:

Vi i Optimiseit har metodeverk for en systematisk og helhetlig tilnærming til dette og fagfeltet. I våre rekker har vi ekspert kompetanse på informasjonssikkerhet som kan bistå våre kunder med definering, implementering og forvaltning av trusselbilde. Vi bistår med å implementere at definerte risikotiltak blir ivaretatt. Vi er en Servicenow partner, et Service Management verktøy som dekker alle funksjonsområdene omtalt.