Markedsplassen for skytjenester (MPS) har utviklet forslag til en portefølje av produkter og tjenester innen cybersikkerhet for offentlig sektor. Porteføljen er delt inn i 3 faser der virksomheten selv kan vurdere eget behov ut fra tilgjengelige ressurser, kompetanse og ønsket måloppnåelse innen sikkerhet.
Hvordan benytte porteføljen
Porteføljen er delt inn i tre faser:
- Fase 1: Visibilitet - Grunnleggende styring og kontroll.
- Fase 2: Etablering - Produkter og tjenester
- Fase 3: Styrt - Managed Services
Fase 1 beskriver produkter og tjenester som gir virksomheten bedre innsikt i egne risiko og sårbarheter på internett, trusselbildet fra detaljert trusseletterretning, GDPR etterlevelse i leverandør-kjeden og tjenester innen bevisstgjøring med kurs og opplæring. Cyber Risk Score og Privacy Management vil gi bedre innsikt i egen sårbarhet og oppfyllelse av krav til GDPR i leverandør-kjeden. Dette er viktig informasjon og kunnskap som kan benyttes av ledelsen, sikkerhets-ansvarlig og IT ledelse til å ta bedre beslutninger basert på målbar og etterprøvbar informasjon.
Fase 2 beskriver flere produkter og tjenester som er spesialisert og som krever en større modenhet og kompetanse på brukersiden. For organisasjonen vil det være viktig å vurdere produkter og tjenester som kan gi størst effekt basert på virksomhetens eksisterende tjenesteproduksjon, sikkerhetsstrategi og infrastruktur.
Fase 3 beskriver "Managed Services" som blant annet inkluderer overvåkning av virksomhetens IT infrastruktur og sky-tjenester, samt "response-team" for utrykking ved cyber hendelser. Dette er tjenester som baserer seg på tett samarbeid og tilknytning til virksomhetens organisasjon på flere plan. Slike tjenester vil i mange tilfeller være omfattende og kostbar, men svært nyttig for de virksomhetene som har høye krav til beskyttelsesnivå.
Grunnleggende krav til porteføljen
Skybaserte løsninger: Produkter og tjenester skal være skybaserte, støtte effektiv bruk av skytjenester og være kompatible med både hybrid- og on-site infrastrukturer. Dette sikrer en fleksibel IT-struktur som kan tilpasses ulike organisasjonsbehov og teknologiske utviklinger.
Automatisering: Det er essensielt at produkter og tjenester er designet for å muliggjøre høy grad av automatisering. Dette vil bidra til effektivisering av arbeidsprosesser, redusere manuelle operasjoner og fremme en mer strømlinjeformet arbeidsflyt.
Nasjonal situasjonsforståelse: Produkter og tjenester bør legge til rette for en samlende og helhetlig informasjonsstrøm. Dette er særlig viktig for kritiske funksjoner som NSM (Nasjonal Sikkerhetsmyndighet) og CERTer (Computer Emergency Response Teams), som krever aggregert og oppdatert informasjon for å håndtere nasjonale sikkerhetsutfordringer.
Flere leverandører: Der det er relevant, bør det etableres avtaler med flere leverandører innenfor de ulike kategoriene. Dette tilrettelegger for fleksibilitet og evnen til å velge løsninger som passer best til organisasjonens modenhetsnivå og unike behov.
Grunnleggende sikkerhetskrav: Alle produkter og tjenester må overholde strenge sikkerhetskrav, inkludert retningslinjer og standarder fra NSM, NIST, ISO 27001, samt oppfylle lovpålagte krav og andre relevante sikkerhetsstandarder. Dette sikrer at produkter og tjenester ikke bare møter dagens sikkerhetsutfordringer, men også er rustet til å håndtere fremtidige trusler.
Relaterte lenker
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)