Tjenester

Cyber Risk Services og informasjonssikkerhet

Informasjonssikkerhet skal sikre virksomhetens informasjon mot uønskete hendelser. Manglende informasjonssikkerhet innebærer risiko for cyberangrep, tapping av kritisk informasjon fra interne og eksterne, lekkasje av konfidensiell informasjon som personopplysninger, patenter, strategier og priser.

Myndighetene har innført strengere regulering innenfor informasjonssikkerhet f.eks.
gjennom personopplysningsforskriften, IKT-forskriften, beredskapsforskriften og sikkerhetsloven.

Deloitte bistår en rekke norske private og offentlige virksomheter med å redusere risikoen knyttet til manglende informasjonssikkerhet.  I tillegg er vi rådgiver for enkelte myndigheter knyttet til utarbeidelse av forskrifter.

Deloitte er rangert som #1 innenfor informasjonssikkerhet og risikorådgivningstjenester.

Vi har 9000 rådgivere som jobber med informasjonssikkerhet globalt hvorav et sterkt fagteam i Norge. Vi har utviklet verktøy og metodikk samt god praksis innenfor informasjonssikkerhet som vi tilgjengelig gjør for våre klienter.  Vi holder en rekke foredrag og skriver innlegg og analyser om tema.

Deloitte har etablert fem Security Operation Centers (SOC) i verden som overvåker internett trafikken 24 timer 7 dager i uken, hvorav ett i Spania. Vi overvåker internettrafikken for å avdekke angrep før de skjer.


Under følger en oversikt over våre sikkerhetstjenester:


Sikkerhetsstyring – styringssystem for informasjonssikkerhet

Deloitte tilbyr bistand for å etablere eller bedre styring av informasjonssikkerhet. Prosjektene består ofte av bygging av styringssystem for informasjonssikkerhet. Nasjonal strategi for informasjonssikkerhet legger føringer på at dette er nødvendig for å sikre god styring av informasjonssikkerhet.  Vår metodikk støtter ISO 27001 og fokuserer på positiv håndtering av informasjonssikkerhet.


Cybersikkerhet

Deloitte tilbyr et bredt utvalg av metoder for forebyggende og konsekvensreduserende tiltak for å sikre digitale aktiva mot angrep og uhell. Et eksempel på dette er scenariobasert krisehåndtering som er utviklet for å engasjere og bevisstgjøre toppledelsen i forhold til aktuelle trusler i cyberdomenet. Vi foretar også sikring ved å implementere prosesser og teknologiske kontroller, samt hendelseshåndtering og etterforskning. Deloitte er det eneste av «de fire store» som har egne sertifiserte CERT-sentre.


Personvern
Vi bidrar med å ivareta personvern i henhold til etterlevelse av regelverk samt møte kunders forventninger og opprettholde tillitten i markedet.  Vi kartlegger alt fra lovkrav til standarder i komplekse miljøer og bistår med å velge og implementere effektive kontroller med fokus på forebyggende sikring. Nytt foreslått EU direktiv strammer inn kravene og øker reaksjonspotensial for Datatilsynet til 2% av global årlig omsetning for virksomheten. Våre personverntjenester leveres sammen med våre advokater spesialisert på personopplysningsloven.


Forhindre informasjonslekkasje

Vi kartlegger sensitive data og ser på dataflyt for deretter å avdekke hvem som har tilgang til disse. Dette kan sees opp mot markedets forventinger og sikkerhetsatferd blant de ulike aktørene i virksomheten. Vår metode kan benyttes for å implementere et program med hensikt å beskytte konfidensialiteten til virksomhetskritiske data.


Sikkerhetsgjennomgang og –forbedring

Vår metode starter med å ta utgangspunkt i et rammeverk som f.eks. en ISO 27001 og måler dagens tilstand opp mot ønsket tilstand. Deretter legges en strategi med påfølgende mobilisering og implementering. Standarder velges utfra behov og kan spisses.


Utvidet sikring av virksomheten

Metoden er tilpasset for å identifisere tredjeparter og kartlegge deres datatilganger. Deretter foretas en overordnet risikoanalyse med prioritering av tiltak. Dette måles opp mot virksomhetskrav før man velger hvilke kontroller som skal implementeres. Bemanningsvurderinger og revisjon av leverandører med måleparametere inngår i metodeverket.


Etisk Hacking / Pentest / Sikkerhetstesting

Metodevalget vil avhenge sterkt av omfang og avgrensninger. Vi gjennomfører teknisk testing av nettverk og applikasjoner, samt testing av menneskelige faktorer i systemet (social engineering) med formål om å avdekke svakheter for å anbefale og prioritere tekniske tiltak. Ved gjentatt testing over tid kan sikringstiltakenes effekt måles. Vi har tilgang til et stort utvalg av verktøy som kan benyttes ved behov.


SIEM/SOC/CERT/CSIRT

Vi vurderer nå-situasjonen og definerer loggprioritering opp mot en risikoprofil. Vi utfører kravanalyser og definisjon av sikkerhetsmetrikker og trussel-modellering. Policyer og standarder kan overføres til overvåkingskontroller. Vi bistår i å velge et produkt eller i utviklingsfasen. Nye prosesser og arbeidsflyt vil implementeres sammen med sikkerhetskontroller.


Risikovurdering

Vi utfører risikovurderinger og -analyser, samt assisterer i valg, bygging og implementering av risikostyringssystem med bistand gjennom hele livsløpet til prosesser og systemer. Vår bistand og metodikk er tilpasset blant annet personopplysningsloven, beredskapsforskriften og ISO 27005


Bevisstgjøring og opplæring

Vi vurderer nå-situasjonen opp mot strategier og analyserer roller og opplæringsbehov. Deretter defineres de endringene som er ønskelig med en plan for implementering av endringene. Vi bistår i implementeringen av disse og oppretter et overvåkingsprogram for videre oppfølging hvor vi kan bistå i innføring av måling av programmets effekt over tid.

Kontakt oss

Bjørn Jonassen

Bjørn Jonassen

Partner

Bjørn er tjenesteleder for Deloitte Cyber Risk Services, med betydelig erfaring på informasjonssikkerhet og arbeid både som rådgiver og revisor. Bjørn har et helhetlig fokus på risiko. Hans tilnærming... Mer