Tjänsteprodukter
Våra analyser och tester
Vi erbjuder ett antal olika säkerhetsanalyser och säkerhetstester för att hjälpa Din
verksamhet att få en samlad bild över säkerhetsläget. Här nedan följer en beskrivning över
dessa analyser och tester. Ta gärna kontakt med oss om du vill att vi kommer ut till Er och
beskriver dessa tjänster lite närmare eller vill ha prisuppgift.
OWASP webapplikationsanalys
Open Web Application Security Project
OWASP är en förkortning för Open Web Application Security Project, och är en organisation som ungefär vart tredje år tar fram de 10 mest vanliga (och farliga) sårbarheterna i webapplikationer. OWASP är också ett verktyg för hur programutvecklare skall tänka i produktionen för att producera säkra webapplikationer.
Våra tester utförs i tre steg:
- Automatiserad säkerhetsscan av applikationen
- Manuella tester av applikationen
- Verifiering av resultat samt rapportskrivning
Det bästa skyddet mot dolda sårbarheter i Era webapplikationer uppnår man om man utför dessa tester kontinuerligt och vid förändringar av applikationen eller vid förändringar i den tekniska plattformen. Vi kommer efter utförda tester att ge Er ett förslag på hur Ni proaktivt kan arbeta med Er webapplikations säkerhet i fortsättningen. Våra tester utförs av ”etiska hackare” som är examinerade via EC Council (CEH) Cyber Security Consulting AB har mångårig erfarenhet av att utföra dessa analyser på företag och verksamheter. Referenser ges vid förfrågan. Vi utför våra OWASP analyser efter fasta priser.
Ladda ner produktbladet OWASP WEB analys (PDF).
CIS topp 20 Cybersäkerhetsanalys
Arbeta strukturerat med säkerhet
En av de viktigaste punkterna i allt säkerhetsarbete är att kontinuerligt mäta och analysera sin nuvarande säkerhetsposition samt sätta upp framtida säkerhetsmål. Att kontinuerligt arbeta efter att bli bättre.
Men hur gör man det? Hur kan man mäta sin säkerhet? Kan man mäta sin säkerhet?
CIS topp 20 är verktyget för det. CIS topp 20 (tidigare SANS topp 20), är ett ramverk där man analyserar 20 områden i sin IT miljö och hur man har implementerat säkerhet inom dessa 20 områden. Dessa områden/punkter kallas för CSC:er (Critical Security Controls). Mångaföretag som arbetar efter ISO27001 använder CIS topp 20 kontroller eftersom de ger en mätbarhet som eftersträvas inom ISO27001.
Det är rekommenderat att utföra CIS analyser i intervaller, för att på så sätt följa utvecklingen av säkerhetsarbetet inom företaget/verksamheten.
CIS topp 20 är ett arbetsredskap och inte en certifiering såsom exempelvis ISO27001. CIS topp 20 är ett internationellt säkerhetsramverk som används av många företag och organisationer världen över, för att kunna mäta sin säkerhet och arbeta strukturerat med att kontinuerligt följa upp och förbättra sitt skydd. Allt fler här i Sverige börjar se fördelarna att arbeta med CIS som en viktig bit i sin säkerhetsrapportering och uppföljning.
Efter en genomförd CIS analys kommer Ni bl. a. att få en bild över:
- Inom vilket område har vi svagt säkerhetsskydd?
- Inom vilka områden har vi ett bra säkerhetsskydd?
- Vad behöver vi göra för att på snabbaste (och effektivaste) sättet få en högre
säkerhet? - Vad kostar säkerhetsförbättringen, och hur mycket högre blir säkerheten?
- Riskbedömning inom var och en av de 20 kontrollpunkterna?
I en CIS analys så analyserar man 4 olika kriterier för de 20 olika CSC:erna:
- Finns det en skrivna och definierade säkerhetspolicy´s?
- Finns det definierade kontroller för att följa upp policyn?
- Finns det automatiserade kontroller?
- Rapporteras status på policys till chefer/ledning
De 20 olika kontrollpunkterna är
Kontakta oss för mer information. Vi utför våra CIS analyser efter fasta priser.
Ladda ner produktbladet CIS topp 20 analys (PDF).
Penetrationstester och sårbarhetsanalyser
Cyber Security Consulting utför penetrationstester och sårbarhetsanalyser åt företag och organisationer. Genom att använda vår kompetens så får Ni arbetet utfört på ett korrekt och
överskådligt sätt.
Vi utför både interna säkerhetstester (Er interna IT miljö) samt externa tester, då vi kontrollerar Er externa säkerhet på den IT utrustning som exponeras ut mot internet såsom exempelvis mailservrar, FTP tjänster, VPN-gateways, brandväggar etc…
Vi utför även säkerhetsanalyser vid nyförvärv, delning och övertag för att ge de nya ägarna en status på bolagets IT säkerhet (Due Diligence). Alla säkerhetsanalyser, penetrationstester och sårbarhetsanalyser utförs av certifierad personal som har mångårig erfarenhet av denna typ av säkerhetstester. Penetrationstester bör utföras med jämna intervall för att uppnå högsta säkerhetseffekt. Vi brukar rekommendera att man utför dessa tester minst årligen, i vissa fall en gång i kvartalet (Såsom enligt PCI DSS).
Vi lämnar alltid fast pris på våra penetrationstester och sårbarhetsanalyser. Kontakta oss för en gratis konsultation.
Ladda ner produktbladet Pentest analys (PDF).
Informationsklassning-policy och process
Det blir allt viktigare för företag och verksamheter att ha en väl fungerande och dokumenterad informationsklassningspolicy och process på plats. Utan att veta min informations skyddsvärde, är det svårt att ta ställning till hur informationen skall skyddas och hanteras.
Många företag och verksamheter har idag klart definierade skyddsvärden vad det gäller tillgängligheten, men odefinierade värden vad det konfidentialitet, integritet (riktighet) och spårbarhet.
Vi på Cyber Security Consulting har mångårig erfarenhet av att skapa informationsklassningspolicy´s och processer åt privata företag och offentliga verksamheter. Om du anlitar oss så kommer du att få en färdig process med tillhörande policy på plats med alla mallar och den utbildning som behövs för att få en tillförlitlig informationsklassningsprocess på plats.
Det vi levererar:
- Digitaliserad processkarta med processflöde
- Informationsklassningspolicy anpassad efter din verksamhet
- Alla mallar som behövs för att distribuera policyn på ett snabbt sätt i organisationen
- Risk och sårbarhetsmallar samt utbildning på hur dessa skall användas
- Utvärdering/Dokumentering av Era informationstillgångar
- Arbetsverktyg för IT enheten om hur man skall skydda informationen med tillgänglig teknik
- Klart definierade värden om vad de olika skyddsklasserna innebär (hårda värden)
Arbetet börjar med ett antal workshops där vi går igenom vad som skall göras, och enligt vilken tidsplan vi skall arbeta. En arbetsgrupp utses som skall hantera och äga processen då den är klar. Att utse ägarskap är en av de viktigaste punkterna för en lyckad implementation
av informationsklassning.
Då arbetet med process, policy och mallar är klar startar vi arbetet med hur vi skall distribuera policyn samt vilka utbildningsinsatser som krävs.
Intresserad av att veta mer? Kontakta oss för gratis konsultation…
Framtagning av säkerhetsrapport för ledningen
Har Ni en säkerhetsrapport som bara innehåller en massa siffror och statistik som inte säger ledningen någonting? Eller vill Ni ta fram en säkerhetsrapport men vet inte vilka mätvärden man skall använda eller hur den skall vara uppbyggd?
kvar och korrelerad. En bra säkerhetsrapport skall ge insikt…
Om du är intresserad av att veta mer om hur en riktigt bra säkerhetsrapport skulle kunna se ut för ditt företag? Kontakta oss för mer information…