Gå til ecit.dk
Gå til forsiden for blog

"Vi sørger for, at kunden ikke skal tænke på sikkerhed, fordi vi gør det for dem"

Skrevet af Rasmus Veidiksen
Dec 16, 2019 8:30:00 AM

CISO, Rasmus Veidiksen, fortæller, hvordan han arbejder med revision på daglig basis, og hvorfor det har stor betydning for kunderne.

Hvad er din rolle hos ECIT Solutions?

Jeg sidder som Chief Information Security Officer - i daglig tale CISO. Det betyder kort sagt, at jeg er ansvarlig for ECIT Solutions dag-til-dag sikkerhed samt vedligeholdelse af det sikkerhedsrammeværk, som vi bliver revideret i ved IT-revision. Herunder sørger jeg for at opretholde vores høje sikkerhedsniveau ved at lave kontroller og checks, der kan bruges som dokumentation til ISAE3402 IT-revision. Mit arbejde består i at sørge for at opretholde vores høje sikkerhedsniveau, som er baseret på ISO27000 rammeværket. Det gør jeg ved at gennemgå og implementere IT-sikkerhedskontroller og checks, der kan afdække områder, hvor vi enten gør det godt eller skal sætte ind med måske en ny teknologi eller en ændring i en bestemt procedure. Det er det arbejde, der i sidste ende bruges som dokumentation til IT-revisionen.

 

Hvordan ser en typisk arbejdsdag ud for dig? 

Typisk starter min dag ud med, at jeg går ind og tjekker vore ISMS (Information Security Management System). Her administrerer vi alle kontroller og har et overblik over, om alt kører, som det skal, eller om der er steder, hvor vi skal sætte ind fx ved at reagere på en sikkerhedshændelse ved en kunde eller internt. Min fineste rolle er at sørge for, at vi er ærlige omkring vores og vores kunders sikkerhedsniveau, så vi kan agere ud fra det. Et eksempel på en kontrol kan være et tjek af, om vi husker at slette privilegerede brugere, når de ikke bliver brugt - for hvis ikke de gør, lever vi ikke op til vores revisionserklæring. Derudover er jeg ofte ude ved vores hostingkunder, hvis de eksempelvis har brug for en risikovurdering eller en procedure til fx ransom ware-angreb, hvilket nogle af vores kunder har haft meget af på det seneste. Desuden hjælper jeg kunder med at lave risikovurderinger af deres IT, lave sårbarhedsscanninger, hvor vi tjekker, at kundens systemer er opdaterede og ikke har fejl-konfigurationer, så der ikke er store huller, lave GDPR-rådgivning eller give awareness-foredrag om, hvordan man kan sikre sig bedre mod IT-farer på et lidt mere individuelt plan. 

 

Hvorfor er det spændende for dig at arbejde i et IT-firma?

Jeg har længe vidst, at jeg ville arbejde i IT-branchen, da det er her, min interesse ligger. Nu arbejder jeg med hosting, og lige præcis dét, synes jeg, er spændende, fordi jeg her har mulighed for at arbejde i et krydsfelt mellem små og store teknologier. Her ser man meget forskelligt, når vi fx både arbejder med målrettede angreb mod bestemte virksomheder og de massesendinger af spam-angreb, vi alle kender fra mystiske mails i indbakken. Derudover er der også nogle store udfordringer i at arbejde med IT-sikkerhed sammen med mine kolleger, der er eksperter inden for forskellige områder. Der er altid gode råd at hente, hvis jeg møder en ny ukendt teknologi - eller en gammel for den sags skyld. 

 

Hvorfor har man brug for revision i et IT-firma?

Hos os står vi både for intern IT-sikkerhed og sikkerhed hos vores kunder. Det er vigtigt, fordi alle vores kunders IT strømmer ind gennem vores hostingcenter, så derfor skal vi sørge for, at vores kunder ikke bliver komprimenteret. Dét starter selvfølgelig med, at vores egen IT-sikkerhed er er på plads, og at vores medarbejdere har styr på de procedurer, der skal hjælpe med at minimere risikoen. Det er jo også vigtigt, at vores kunder kan blive indkaldt til audit af datatilsynet eller egen IT-revision med ro i maven, da de ved, at deres leverandør har styr på sikkerheden, fordi vi kan fremvise vores ISAE3402 revisionserklæring.  

 

Hvordan hjælper du ECIT Solutions kunder?

Specifikt sørger jeg og mine kolleger for, at kundernes systemer bliver scannet for sårbarheder, bliver patchet, og at der bliver udført kontroller på deres systemer, der sikrer, at de er konfigureret korrekt. Kort sagt sørger vi for, at vores outsourcing-kunder ikke skal tænke så meget på sikkerhed, fordi vi gør det for dem. Vi sikrer os, at der er styr på sikkerheden og sørger for, at alle vores ansatte er klædt på til at håndtere systemer med persondata (GDPR) på.

 

Hvad er revisionserklæringer, og hvorfor er de vigtige for jeres kunder?

Vores revisionserklæring, ISAE3402, er et skriv om, hvad vi gør for at leve op til ISO27000, som er en international informationssikkerhedsstandard. Derudover dækker ISAE3402 også vores ansvar som databehandler ift. GDPR, og dette bliver vi også revideret i. I ISO27000-standarden findes 114 IT-sikkerhedskontroller, som vi altså erklærer, at vi lever op til. Når der så er revision, kræver IT-revisoren dokumentation på, at vi rent faktisk lever op til disse mål. Derfor er det et bevis for, at vi rent faktisk gør dét, vi skriver i vores sikkerhedspolitikker, og således kan vores kunder altså sikre sig, at vi lever op til alle sikkerhedskrav. 

 

Hvordan tror du, behovet for revisionserklæringer i IT ser ud i fremtiden?

Med GDPR har virksomheder fået et meget større behov for at få papir på, at de har sørget for sikkerheden og kan bevise, at de har valgt en udbyder, der har styr på det. Hos os kigger vores revisorerklæring både på teknisk sikkerhed, men også på hvordan vi håndterer persondata. For mig er det spændende, at virksomheder nu selv er ansvarlige for, at de leverandører, de vælger, har styr på sikkerheden - altså at de kan dokumentere, at leverendøren lever op til bl.a. kravene i GDPR. Derfor tror jeg kun, der bliver mere behov for at kunne vise en revisorerklæring i fremtiden. 

 

Har du spørgsmål, eller er du interesseret i at vide mere om revision i en IT-virksomhed? Så kan du kontakte os eller booke et uforpligtende møde her

 

Temaer:

Rasmus Veidiksen

CISO hos ECIT Solutions

Læs flere indlæg fra Rasmus Veidiksen

Kontakt