Ledningssystemet Sverige AB

2024-03-27

Efter någon veckas stillhet börjar det på nytt röra på sig, denna gång i form av en sedvanligt ordtung och tafflig presentation inför lanseringen av ledningssystemet.se under Q2 2024.

Som tidigare kungjort är målgruppen den som tröttnat på mallpaket, långa listor i excel och bristfällig koppling mellan informationstillgångar, risker, säkerhetsåtgärder och handlingsplaner. Vi arbetar framförallt med att stötta kunder vad gäller informationssäkerhet (#ISO27001), men ledningssystemet.se kommer vara till minst lika stor nytta för de av er som vill förvalta sitt ledningssystem för kvalitet (#ISO9001), miljö (#ISO14001), arbetsmiljö (#ISO45001) eller varför inte artificiell intelligens (#ISO42001).

 

Om mallar

2024-03-06

Sedan start har Verksamhetsfokus Sverige AB publicerat mallar på den ganska risiga/billiga hemsidan.
Vi hatar att ta betalt för något redan framtaget, särskilt om det är nonsens i form av generiska mallar. Vi ogillar det rentav så mycket att vi omnämner det i våra villkor under punkten ”11 Upphovsrätt till mallar”.

Extra kul blir det när vi i olika uppdrag (som konsulter eller revisorer) springer på våra mallar (särskilt personuppgiftsbehandlingsregistret var en populär rackare under åren efter 2018). Lite ledsamt blir det när kunden berättar att de betalat pengar för mallen genom en konkurrentkollega (även om vi har full respekt för att alla behöver kunna betala sina räkningar och förhoppningsvis levererades något mer än bara mallen).

Mallar finns på verksamhetsfokus.se. En del är dåliga, många finns på annan plats och vissa är förhållandevis populära.
Vi vill i första hand inte sälja mallar, det verkar tråkigt. Vi vill i första hand ha roligt på jobbet och en metod är att försöka hjälpa våra kunder att orientera sig i relation till standarder och framförallt klargöra bland annat:
– vad #ISO27001 inte är
– vad #NIS2 inte är
– vad #GDPR inte är
Genom detta hoppas vi kunna hjälpa våra kunder att inte utföra galet mycket arbete i fel riktning.

 

Partnerportalen föremål för funktionstillväxt

2024-03-06

Hör upp konkurrentkollegor och eventuella informationssäkerhetsansvariga på koncernnivå (offentlig eller privat verksamhet är egalt)!

Partnerportalen är föremål för fortsatt funktionstillväxt och bäst återspeglas detta genom ännu en bild över sidomenyn.

Partnerportalen är en funktionalitet som finns även i nuvarande version av Ledningssystemet, men i den kommande versionen får också denna del av verktyget en översyn och görs till föremål för funktionstillväxt.

Partnerportalen är central för våra konkurrentkollegor vilka vill stötta sina kunder med lagbevakning, med en grunduppsättning av exempeldokument, med en riskmotor vilken anpassas utifrån partnerns bransch eller expertområde eller helt enkelt i den löpande förvaltningen av Ledningssystemet för informationssäkerhet, eller kvalitet, eller miljö, eller arbetsmiljö, eller AI (se #ISO42001 hos Svenska institutet för standarder, SIS).

Men det finns fler möjligheter där Partnerportalen har en plats i våra kunders liv.
– Om man är en kommun kan man bestämma vissa gemensamma nämnare vilka alla förvaltningar ska förhålla sig till (då behöver respektive förvaltning vara en kund).
– Om man är en bolagsgrupp kan den centrala organisationen bistå dotterbolagen med gemensamma dokument, riskscenarion samt klassningsegenskaper.
– Om man är en rådgivande myndighet (som MSB (Myndigheten för samhällsskydd och beredskap)) eller intresseorganisation (som Sveriges Kommuner och Regioner) kan man bistå de vilka väljer att nyttja partnern med riskscenarion, klassningsegenskaper eller för all del annan dokumentation.

Partnerportalen bygger på att man önskar bistå en given användarmålgrupp med ett mervärde och Ledningssystemet är den valda kanalen. Därmed är Partnerportalen kostnadsfri för de vilka är våra partners, sen på vilket sätt en partner väljer att packa sina tjänster är en affärsrelation mellan partner och partnerns kund, dock bör partnern vara en användare av Ledningssystemet annars faller nyttan platt.
Inom en kommun eller koncern kanske det inte kostar förvaltningarna eller dotterbolagen något utöver månadskostnaden för Ledningssystemet (se verksamhetsfokus.se ).
Om partnern är en konkurrentkollega till Verksamhetsfokus kan Partnerportalen utgöra en kanal för sin leverans av konsulttjänster och vara kopplad till betalningen för dessa.

Bry dig om driftleverantörens kontinuitetsplanering och om vinsten med säkerhetsåtgärdsförteckning

2024-03-06

Tripnet AB lyfter fram ett anekdotiskt exempel och belyser därmed två centrala väderkvarnar vi brukar dra upp.

Väderkvarn 1:
Även om just ditt brandskydd i datahallen är fantastiskt kan du påverkas av att andra har otur. Hallen är en del av en byggnad, och en byggnad kan brinna rätt bra även om branden inte startar i hallen. Branden kan rentav starta hos grannen. Har man med datacenterleverantörer att göra, vilket vi alla har ty även molnet snurrar på faktisk hårdvara och denna hårdvara gillar att bo inomhus, behöver man spela på planen att leverantören kan råka ut för tråkigheter.
Det som kännetecknar tråkigheten brand är två saker:
– Har man sina säkerhetskopior i samma byggnad (även om det är en separat hall) kommer de brinna lika bra som produktionsdata vid en totalskada. Fråga din leverantör vad du de facto har köpt och om du känner oro vid svaret har leverantören ofta alternativ i sin produktportfölj.
– Om leverantören råkar ut för en totalskada kommer det vara en kapacitetspåverkan över tid. Fråga gärna leverantören vad som händer då, och om du själv tycker det verkar krångligt att byta leverantör ska du se över din egen miljö alternativt visa mer intresse för svaret.

Väderkvarn 2:
Det finns värden i att klargöra verksamhetens säkerhetsåtgärder och besluta om dem i relation till en vettig riskanalysprocess. Oavsett om man väljer att gå mot certifiering eller inte kan det mycket väl gynna kunddialoger och andra typer av leverantörsbedömningsaktiviteter.
Väderkvarnen består i att ett uttalande om tillämplighet ska hjälpa verksamheten att förstå och konkretisera vad det är man har gjort och infört för att hantera sina risker, det ska inte i första hand blidka en revisor vid en certifieringsrevision. Dels för att det inte ger någon verksamhetsnytta värd namnet, men framförallt för att det kommer bli svårt att förvalta säkerhetsarbetet över tid.

Just ledningens engagemang vad gäller det faktiska säkerhetsarbetet, konkretiserat genom uttalandet om tillämplighet, har varit en av Verksamhetsfokus Sverige AB:s käpphästar sedan start. Förmodligen svårt färgade av att vi som både konsulter och revisorer besökt för många verksamheter vilka har betalat för mycket pengar för ganska många (dåliga) mallar. Våga kasta eller iallafall omformulera grundmallarna och policyexempel, gör verksamheten det till sitt eget ökar chansen för att det kan efterlevas. Detsamma gäller för övrigt när verksamheten ber ChatGPT skriva en riktlinje, använd AI som stöd och eventuell inspiration, men läs det som föreslås och fundera på om det i praktiken kan efterlevas.

För de som vill kan man använda Ledningssystemet för att generera ett aktuellt uttalande om tillämplighet utifrån vilka säkerhetsåtgärder man valt i relation till sina risker (det kan man i nuvarande version också). I rapporten kommer aktuell status framgå. Rapporten kan dispositioneras på flera sätt, ett av sätten att flå katten kommer baseras på ISO 27001:s bilaga A.
Info finns på verksamhetsfokus.se .

Delbetänkandet rörande ny Cybersäkerhetslag publiceras – SOU 2024:18

2024-03-05

Plötsligt händer det!

(Del)betänkandet vi väntat på kom, och det blir en kompletterande del i september.

Dessutom ger det oss en chans att pudla på tidigare inlägg och killgissning, något som i sig är befriande och nyttigt.

https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2024/03/sou-202418/

Ledningssystemet.se får mer funktionalitet – Se hit konkurrentkollegor och det offentliga

2024-03-03

Funktionstillväxten fortsätter inför omlanseringen av tjänsten Ledningssystemet!

Det syns dels i menypanelen, men det märks även av konkret genom ny fräsch funktionalitet.

Det senaste som kastats in för testning är Partnerportalen. Partnerportalen är till för de verksamheter som väljer att vara partners åt kunder vilka använder Ledningssystemet. Det är kostnadsfritt för partnern, kunden köper tjänsten ledningssystemet direkt från leverantören (i praktiken oss, men mer om det framöver) och kan vara kopplad till en eller flera partners, allt beroende på vem man gillar och vad de kan tillhandahålla för mervärde. Vill man inte ha någon annan partner kan man nöja sig med att bara vara baspartner med Verksamhetsfokus. Kort sagt kommer det finnas något åt alla.

En partner kan genom Partnerportalen bland annat administrera och tillhandahålla sitt partnerunika stöd, mot ersättning eller gratis.
Partnerstöd kan vara:
– Tillhandahållande av grundläggande dokumentation (för att ändå tilltala de konkurrentkollegor som älskar dokument, men också för att viss dokumentation uppstår och vissa av våra kunder använder ingen snygg och dyr intranätlösning).
– Lagbevakning- och uppdatering av partnerns tillhandahållna laglista. Det här uppskattas av sjukt många då klassiska lagbevakningstjänster blir en smula yxiga.
– Basprocesser som kan byggas på eller anpassas för att dels kartlägga vad man gör och dels inventera information och andra informationstillgångar.
– Ramverk för klassning av information och informationstillgångar.
– Partnerunika riskkataloger för att kunna använda Ledningssystemets riskmotor utifrån ett partnerstöd.
– Genomförande av interna revisioner utifrån partnerunika checklistor (kanske baserade på standard, kanske baserade på annat).
– Mängder med annat.

Utifrån kundens perspektiv är det viktiga att ingen partner kommer åt er information, era riskkataloger, era inventeringar. Kort sagt ska en partner tillföra ett mervärde till er, inte ha er information. Vill man dela information med en partner får man välja att göra den verksamhetens personal till användare i den egna organisationen.

Tänk på att en partner inte måste vara en konsultverksamhet. Om ni hör till det offentliga, exempelvis en kommun, en myndighet eller för alla del MSB (Myndigheten för samhällsskydd och beredskap) finns det inga hinder för att agera partner och därigenom stötta den egna och andras organisationer med ramverk och annat. Och även om Ledningssystemet körs i en egen driftmiljö kan man nyttja en partner.

Nedan ser ni den fullt expanderade menypanelen utifrån en kundvy. Det ger en överblick av vad man som kund kan förvänta sig för funktionalitet.

Mer uppdateringar kommer. Pris för Ledningssystemet finns på verksamhetsfokus.se .

Om du, kära konkurrentkollega, med ljus och lykta letat efter ett systemstöd för att hjälpa dina kunder får du mer än gärna höra av dig. Vi tror oss givetvis ha svar på alla dina frågor och lösningar för flera av era gemensamma behov.

 

 

Kunders meny i skrivande stund
Hur kan skenbart höga ambitioner framstå som amatörmässiga – Om informationsklassning

2024-03-02

Sedan start har vi på verksamhetsfokus.se uppmuntrat våra kunder att vara rimliga i sin klassning av verksamhetens information, dels för att klassningen ska kunna vara ett verktyg och inte minst för att säkerställa att resurserna läggs på att skydda det som faktiskt är skyddsvärt.
Kort sagt och gravt förenklat drar en högre klassning som regel med sig högre kostnader i merarbete och/eller pengar, oavsett om det är hemlighetsmakeri, riktighet eller tillgänglighet som klassas upp till orimliga nivåer.
Att godtyckligt klassa informationen som superhemlig, superkritisk och superviktig gör inte med nödvändighet verksamheten mer relevant. Särskilt inte om det enbart finns godtycke bakom klassningen och klassningen inte återspeglas i hur informationen hanteras, då bär sammanhanget relativt snart lyteskomikens prägel.

Fia Ewald omnämnde i höstas en motsvarande problematik vad gäller säkerhetsskydd i relation till den sedan några år uppdaterade säkerhetsskyddslagen. Jag kan inte annat säga än att jag delar hennes analys, det har gått inflation och bitvis viss galenskap i säkerhetsskyddslagens tillämpning. Det stora problemet tycks vara att lagen används för att godtyckligt påvisa att en given verksamhet har en relevans utifrån devisen ”vi är så himla viktiga, titta här vi omfattas av säkerhetsskyddslagen”. Särskilt tydligt blir det när man anser att verksamheten absolut är så viktig att den kan påverka rikets säkerhet, men man är på inget sätt beredd att hantera konsekvenserna detta för med sig i form av merarbete och kostnader.

Som sista tillägg är det värt att nämna följande:
Säkerhetsskyddslagen är en nödvändig, bra och funktionell lagstiftning enligt min mening, men just nu tillämpas den av för många aktörer på ett sätt som sannolikt inte är i linje med lagstiftarens intention.

En läsvärd text, även om den har några månader på nacken hittas i Altinget.

Var är den särskilda utredarens rapport – För oss som väntar på NIS2

2024-03-01

Till de som undrar var den särskilda utredarens avrapportering kring NIS2 tagit vägen, kanske också konkurrentkollegor som kommunicerat diverse utbildningar och som står i startgroparna för att påtala hur verksamheter kan bli ”compliant” med NIS2 och CER-direktiven:

Den kommer sannolikt 16 september. I januari erhöll utredaren ett tilläggsdirektiv och med det mer tid, samtidigt kommunicerades det på ett sätt som iallafall gav mig en bild av att en delrapportering skulle genomföras i februari. Så tycks inte längre vara fallet.

N.b. för de som omfattas och som tänker (eller blir skrämda till att tänka) ”Det här är jättekrångligt och jättedyrt, vi måste ta in konsulter”:
– Man behöver inte köpa massa dokument eller tjänster för att hantera NIS2 eller CER. Sannolikt blir det sämre.
– Många verksamheter har redan en tillräcklig systematik, beredskap för rapportering samt process för att identifiera, bedöma och behandla risker. Och om man behöver göra arbetet bör konsulten vara ett bollplank, inte leverera en totalentreprenad.
– Det kan vara värt att överväga ett Ledningssystem för informationssäkerhet baserat på ISO 27001 om man inte upplever sig vara trygg i den nuvarande situationens tillstånd. Tänk på att standarden kan användas också utan att man väljer att certifiera sin verksamhet och sitt ledningssystem, det finns bra saker också utan tillhörande certifikat.
– Om man trots ovanstående vill köpa tjänster erbjuder verksamhetsfokus.se fortsatt sin tjänst ”skäll mot faktura” (kunderna brukar kalla det uppriktighet, vi är ganska trevliga) för att hjälpa ledningen i rätt riktning samt påminner om vår kommande nylansering av Ledningssystemet (en tjänst utvecklad av konsulter vilka är tillika revisorer; framförallt ogillar vi att debitera hundratals timmar för ”projektledning” och dokumentmallar). Ledningssystemet kommer ha stöd för att genomföra egenkontroll/internrevision baserat på de sannolikt ganska få krav vilka följer på NIS2 och CER.

Komittéberättelsen angående ”Utredningen om genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft (Fö 2023:01)”

Ledningssystemet.se kommer i ny version

2024-02-26

Gillar du säkerhet men inte dokument? Då älskar du det här!

Verksamhetsfokus har under åren lotsat och hjälpt en bra bit över 50 företag genom deras resa mot ISO 27001-certifiering i rollen som konsultstöd och brukar normalt debitera mindre än 100 timmar konsulttid under deras certifieringsresa (alltså en kostnad på drygt 100kkr, vi har alltid våra priser och villkor på vår dåligt underhållna och fula hemsida då vi älskar transparens) med hjälp av vår konsultmetod (som vi ibland lite skämtsamt kallar ”skäll-mot-faktura”), verktygsstöd och frånvaron av Powerpoint-rapporter som levereras av konsult med dåligt sittande kostym. Vad kostade ert konsultstöd när ni blev certifierade?

Vi fokuserar på att ledningen förstår kravbilden, att hitta en effektiv och tillräcklig metodik för styrning och uppföljning och att hålla dokumentationen till ett minimum och istället låta verktygslådan för ledningen växa med kompetensutvecklingen. Detta är förenligt med ISO-standarderna men kräver fokus och engagemang. Här skiljer vi oss mot våra konkurrentkollegor som ofta vill leverera ett överflöd av mallar och göra detta området till svartkonst och skapa ett stort konsultberoende.

Verksamhetsfokus har sedan första uppdraget för över 6 år sedan använt verktygsstöd för att stödja våra kunder med säkerhetsarbetet. Vi är inne på version 3 av vårt interna verktyg som stödjer säkerhetsarbetet genom automatiserad riskidentifiering baserad på inventering och klassificering av processer och tillgångar. Under Q2 2024 släpper vi en helt ny version av verktyget som blir möjlig att köpa och använda för dig som vill ha ett riktigt kraftfullt stöd i det systematiska förbättringsarbetet utan att sitta med en hög av dyra dokumentmallar och galet många konsulttimmar. Detta kommer vi sälja som en SaaS-tjänst men med möjlighet att köra systemet i era egna IT-miljöer om ni så vill. Kostnaden kommer vara 3000:- per månad och företag och innehåller möjlighet att även hantera laglistor, obligatorisk dokumentation, hantering av avvikelser och förbättringsförslag samt hantering och uppföljning av riskbedömningar och handlingsplaner.
För att hjälpa våra konkurrentkollegor ytterligare (förutom att vi ibland hoppar in som deras expertkonsulter, billigt för dem och bra för deras kunder) erbjuder vi också en partnerportal (gratis såklart) där bolagen kan stödja sina kunder som använder verktyget. Detta bör minska kundernas kostnader avsevärt, minska behovet av att anlita oss som underkonsulter men framförallt ge möjlighet att sluta med alla onödiga dokumenthögar!

Håll utkik efter vårt verktyg under Q2 och kika gärna in på priser och villkor på vår dåliga hemsida www.verksamhetsfokus.se

 

Kunders meny i skrivande stund
Linkedin tillräckligt iskallt för verksamhetsfokus

2024-02-26

Nu är LinledIn tillräckligt iskallt för att Verksamhetsfokus Sverige AB ska ge sig in i denna värld med en egen sida.
Sannolikt kommer den uppdateras sparsamt, men kanske lite mer frekvent än vår hemsida.

Om inte annat kommer vi försöka förmedla information om verktyget när vi tar ytterligare steg mot lanseringen av nästa version.
Se verksamhetsfokus.se för prisbild och för information om vår metod.

Verksamhetsfokus på LinkedIn