Säkerhetsåtgärder

GDPR: Tekniska och organisatoriska säkerhetsåtgärder

Bakgrund

Grant Thornton vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna är anpassade med beaktande av typerna av behandling, omfattning, sammanhang, kategorierna av personuppgifter, ändamål samt särskilda risker, av varierande sannolikhetsgrad och allvar. 

Som grund för säkerhetsarbetet använder Grant Thornton sig av ett ledningssystem för informationssäkerhet (LIS) som baseras på den internationella standarden SS-EN ISO/IEC 27001. Standarden ger riktlinjer och allmänna principer för att initiera, införa, bibehålla och förbättra styrningen av informationssäkerhet i en organisation. 

För att kunna bemöta GDPR:s krav på exempelvis konfidentialitet, integritet, tillgänglighet och motståndskraft tillämpar Grant Thornton dokumenterade IT-säkerhetprocesser och rutiner. Processerna behandlar bland annat åtkomststyrning, kryptering driftsäkerhet, kommunikationssäkerhet, kontinuitet och redundans samt leverantörsrelationer.

Åtkomststyrning

Åtkomst till system
Åtkomsten till system styrs via en policy för åtkomstbehörigheter. Användarkonton med tillhörande grundläggande behörigheter beställs via en helpdesk av anställande chef. Förändringar och borttag av behörigheter omfattas också av policyn. Beställningar som rör åtkomst kräver alltid ett godkännande av en ansvarig t.ex. närmste chef eller systemägare. Den som godkänner ska alltid göra en behovsbedömning.

Beställningar som rör åtkomst hanteras enligt fastställda processer i ett ärendehanteringssystem. Detta möjliggör spårbarhet av utförandet inklusive godkännanden. Arbetet med åtkomst (tillägg, ändring, borttagning och granskning) utförs av personal särskilt utbildade för detta. Det är endast ett fåtal personer som har tillräckliga behörigheter för att utföra detta.

Åtkomst till IT-infrastruktur
Grant Thornton har en IT-infrastruktur där kritiska knutpunkter är larmade och övervakade. För fysisk åtkomst till Grant Thornton datahallar krävs det särskilda säkerhetstoken som är personliga. Datahallarna har kameraövervakning vilket det tydligt informeras om. Endast särskilt godkänd personal har fysisk åtkomst till Grant Thorntons datahallar. Det krävs ett särskilt godkännande av systemaägaren för att få möjlighet att logga in i servrar och nätverkskomponenter som utgör kritiska delar av IT-infrastrukturen. Vid dessa godkännande beaktas bl.a. behov, syfte och den funktion personen innehar.

Externa leverantörer kan ges tillfällig åtkomst till Grant Thorntons IT-infrastruktur om ett särskilt behov finns. Detta kan t.ex. röra underhåll av utrustning som kräver särskild certifiering. För dessa situationer finns det en fastställd rutin för hanteringen. I normalfallet läggs alltid en tidsbegränsning in i systemet. Alternativt utförs regelbundet en kontroll att behovet fortfarande är legitimt.

Kryptering

Alla datorers hårddiskar krypteras vid installation. Detta är en del av Grant Thorntons standardkonfiguration för datorer. Standarkonfigurationen kräver också att USB-enheter som ansluts alltid måste krypteras innan något kan sparas på dem. De krypteringsnycklar som krävs för kryptering och dekryptering hanteras endast av personal med särskild behörighet för detta. Som en del av driftsäkerhetsrutinerna utförs regelbundet en automatiserad skanning av alla Grant Thorntons datorer för att verifiera att krypteringen är aktiv.

All kommunikation till och från datorerna ska krypteras om en tjänst används som innehåller känsliga uppgifter. Detta inkluderar känsliga personuppgifter. Säkerställandet att kommunikationen blir krypterad ligger på den tjänst som används. Tjänsten ställer därför krav på att den anslutande datorn och användaren uppfyller vissa saker som t.ex. certifikat på datorn som styrker identitet och legitimitet eller att användaren måste ange ett engångslösenord. I samband med den automatiserade backupen av våra system krypteras backuperna.

Driftsäkerhet

Skydd mot skadlig kod
Grant Thornton har olika system för att skydda IT-infrastrukturen mot skadlig kod bl.a. olika antiviruslösningar. Vi arbetar kontinuerligt med att övervaka och hålla dessa skydd aktiva och uppdaterade. Skadlig kod utnyttjar ofta sårbarheter i program och system för sina angrepp. Vi arbetar därför aktivt med att hålla program och system uppdaterade så att antalet kända sårbarheter som kan vara en angreppsyta minimeras. Skadlig kod utnyttjar också den mänskliga nyfikenheten. Därför finns det bland de utbildningar som Grant Thorntons anställda måste genomgå särskilda avsnitt rörande identifiering av skadlig kod.

Mejl
Säkerheten för Grant Thorntons mejl baseras främst på de regelverk som tillhandahålls av mejlhanteringsleverantören samt mejlfiltreringsleverantören. Regelverket uppdateras löpande av resp. leverantör i syfte att förse säkerhetslösningarna med den senaste informationen kring känd skadlig kod som kan bifogas i eller vara en del av innehållet i ett mejl. Uppdateringar sker löpande och i form av en prenumerationstjänst. Om ett mejl identifieras som skadligt kommer mejlet att blockeras och sättas i karantän per automatik. Verifieringen och bedömningen av huruvida ett mejl är skadligt eller inte sker per automatik baserat på regelverket som leverantören tillhandahåller. Den del av mejlsäkerheten som finns på användarnas datorer uppdateras oavsett om de befinner sig inom Grant Thorntons nätverk eller utanför Grant Thorntons nätverk.

Internet
Säkerheten vid användning av Internet i allmänhet t.ex. via webbläsare och appar upprätthålls av flera olika säkerhetslösningar. Dessa finns i den centrala IT-infrastrukturen samt lokalt på Grant Thorntons datorer och mobila enheter. Säkerhetslösningarna använder flera olika mekanismer för att upprätthålla säkerheten. I den centrala IT-infrastrukturen finns det t.ex. funktioner som svartlistar platser på Internet som bedöms vara riskfyllda.

Datorer och servrar
Samtliga datorer och servrar har ett skydd mot antivirus och annan skadlig kod. Skyddet innehåller ett regelverk som tillhandahålls av leverantören. Regelverket uppdateras kontinuerligt med den senaste informationen kring känd skadlig kod. Att skyddet är aktivt och uppdaterat på alla datorer övervakas aktivt. Genomsökningar av datorer och servrar är automatiserade och sker främst i schemalagda intervall men också händelsestyrt. Det sker också genomsökningar av nya filer då dessa hanteras av användaren och laddas ner på datorn samt då de överförs från datorn.

Säkerhetskopiering
Säkerhetskopiering av data sker automatiskt enligt fastlagt schema, lösningen som Grant Thornton använder är redundant samt med lagring av backupmedia på annan fysisk plats. Larmsättning på backupjobb finns i syfte att upptäcka avvikelser och incidenter. Återläsningstester av backuper utförs i olika grad baserat på återkommande riskbedömningar.

Sårbarhetshantering
Skanning efter sårbarheter i Grant Thorntons IT-infrastruktur genomförs med ett sårbarhetsverktyg vilket leverantören kontinuerligt uppdaterar med kända sårbarheter. Skanningarna som är schemalagda genererar en sårbarhetsrapport som analyseras och hanteras av särskild utbildad personal. Sårbarheterna prioriteras och åtgärdas enligt en sårbarhetsprocess. Åtgärderna verifieras genom nya sårbarhets skanningar.

Hanteringen av säkerhetsuppdateringar (ofta kallat patchning) sker normalt månatligen och införs automatiskt vid ett schemalagt servicefönster. Säkerhetsuppdateringar för kritiska sårbarheter införs omgående efter att ha behandlats av de ansvariga för den tjänst som uppdateringen avser. Penetrationstester genomförs årligen av extern part.

Loggning
Loggning av aktiviteter som t.ex. ändring och borttag av användare ansvaras för och hanteras av personal särskilt utbildade för detta. Detta sker i enlighet med regulatoriska, affärsmässiga och tekniska behov och krav. Även uppgifter som utförs av personal med höga behörigheter loggas. Det görs genomgångar av loggar med en riskbaserad intensitet. Noterade avvikelser följs upp och i förekommande fall eskaleras de till incidenter. Det finns system för att skydda loggarna. Detta för att säkerställa dess integritet, konfidentialitet och riktighet. Gallring sker i enlighet med gällande lagstiftning.

Kommunikationssäkerhet

För att säkerställa kommunikationssäkerheten finns det en aktiv övervakning och larmsättning av en mängd komponenter och parameter i IT Infrastrukturen som hanterar kommunikation. Datorer, servrar, nätverksutrustning och annan hårdvara som ansluts till Grant Thorntons nätverk hanteras utifrån tillämpliga säkerhetskrav och placeras i lämpliga segment. Detta i syfte att uppnå rätt nivå av kommunikationssäkerhet.

Kontinuitet och redundans

En hörnsten i Grant Thorntons IT-kontinuitetsplan (krishanteringsplan) är backuperna. Det läggs därför mycket arbeta på att hålla dessa aktuella och att säkerställa deras integritet, konfidentialitet och riktighet. En annan hörnsten är de processer och rutiner som ska aktiveras då en eller flera allvarlig incidenten inträffar. Dessa arbetar vi ständigt med att hålla aktuella och integrera med processerna när normalläge råder. Det sker övningar av delar kontinuitetsplanen baserat på återkommande riskbedömningar.

Våra datahallar har professionella lösningar för att uppnå. redundans på flera nivåer d.v.s. att ett system kan ta över uppgiften från ett system som slutat fungera. Servrarna har ett 24/7 supportavtal. Redundansen i våra datahallar testas baserat på återkommande riskbedömningar.

Många av våra tjänster och arbetsverktyg är tillgängliga via Internet. Vi har också en hög grad av digitalisering. Detta innebär att de flesta av våra anställda kan fortsätta att arbeta från andra platser även om något eller några av våra kontor inte är tillgängliga av någon extrem händelse.

Leverantörsrelationer
I upphandlingsförfarandet av nya leverantörstjänster och avtal ställs krav på leverantörens IT-miljö och informationssäkerhetsarbete. Leverantören ska redogöra för sin teknik, rutiner och processer samt policys avseende IT och informationssäkerhet. Avtal avseende sekretess och andra relevanta regulatoriska avtal signeras av leverantören innan tjänsten tas i bruk. Grant Thornton genomför löpande kontroll av leverantörers åtkomst och behörigheter i den mån de har sådan.