Sårbarhedsanalysen har til formål at scanne (automatisk) og gennemgå (manuelt) Jeres IT-systemer, både internt og eksternt. Det er med henblik på at identificere hvorvidt der er kendte sårbarheder i de systemer i anvender, samt opsætning og brug af systemerne. Det er generelt betragtet en proaktiv indsats for at kunne dokumentere at Jeres systemer og brugen heraf lever op til de teknisk sikkerhedsmæssige krav og ønsker I har.
Findes der sårbarheder (det finder vi i 10 ud af 10 tilfælde), så vil vi prioritere sårbarhederne ud fra deres kritiske niveau og gennemgå dem sammen med Jer. Herefter har I mulighed for beslutte hvad I ønsker at gøre ved hver enkelt sårbarhed:
- Løse dem systemmæssigt
- Løse dem med kompenserende kontroller (f. eks. 2-faktor sikkerhed)
- Acceptere dem med intern (egen) risiko
- Acceptere dem med ekstern risiko (forsikre Jer ud af dem eksempelvis)
- Udskyde dem
Det danner således både et grundlag og en drejebog for den sikkerhedsmæssige indsats der skal foretages hos Jer for at leve op til de sikkerhedsmæssige standarder som I ønsker og/eller har behov for (herunder GDPR).
Vores proces omkring sårbarhedsanalysen er:
- Initielt kick-off møde hvor vi aftaler rammer for analysen, herunder sikkerhedskravene I ønsker at efterleve.
- Derefter giver I os skriftlig tilladelse til at udføre opgaven.
- I leverer de adgange vi har behov for i henhold til de rammer vi har aftalt.
- Vi udfører den automatiserede scanning på aftalt dag og tid.
- Vi gennemgår manuelt opsætningen på de systemer vi har aftalt i henhold til rammer.
- Vi gennemgår de relevante processer I anvender (relativt overordnet, så det bliver ikke en decideret risikoanalyse).
- Vi udarbejder en sårbarhedsrapport som vi sammen gennemgår.