Neupart annoncerer nu et helt nyt redskab til risikostyring i organisationer. Redskabet gør det nemmere og hurtigere for virksomheder at lave risikovurderinger.

Mange virksomheder oplever, at det er svært at skabe en sammenhæng mellem de it-mæssige trusler og forretningens behov. Forretningen har behov for at it-services og forretningsprocesser kører, og disse afhænger ofte af vidt forskellige "aktiv-typer" som for eksempel nøglepersoner, underleverandører, virtuelle og fysiske servere, infrastruktur og meget andet.

Den slags sammenhænge, og at det er vanskeligt at holde styr på adskillige personers besvarelser og vurderinger, er årsagen til at regneark kommer til kort som redskab.

For virksomheder, fx institutioner i staten og leverandører, der skal efterleve den internationale standard ISO 27001 er der hjælp at hente, både i ISO 27005 og i Neupart's nye værktøj, der hedder SecureAware Risk TNG.

Læs mere om risikovurdering med ISO 27005

Se skærmbilleder

Se træningsfilm (engelsk)

Seminarer om risikostyring og ISO 27005

Overblik over standarder

Mere om SecureAware ISMS

Anmod om at deltage i beta-testen.

Få besked når beta-perioden ophører.

Læs mere her

Anmeldelsen kommer blot få måneder efter at SecureAware vandt innovationspris for bedste Compliance Management løsning.

Læs risk management-artiklen i SC Magazine

Læs om innovationsprisen

Læs mere om SecureAware

Dowbload SecureAware

Resultatet før skat er vokset med hele 84 procent til 763.000 kroner, mens omsætningen af Neuparts egenudviklede software, SecureAware, er vokset med 27 procent. Det er i øvrigt 9. år i træk, Neuparts omsætning vokser.

Væksten skyldes blandt andet, at Neupart har introduceret nye produkter i form af automatisering af it-beredskabsplaner og Software as a Service. Med SaaS-løsningen kan virksomheder komme hurtigere i gang med it-beredskab, -risikostyring og ISO 27001-efterlevelse uden at investere i hardware og softwarelicenser.

Bestyrelsesformand i Neupart, Stig Bøgh Karlsen, er tilfreds med regnskabet:

"Det er i sig selv en succes at komme ikke bare helskindet, men ligefrem styrket, ud af et år, der ellers har været præget af økonomisk krise for de fleste. Fremgangen viser, at Neupart A/S har en stærk position i det voksende marked for it-sikkerhedsstyring og compliance. Den viser også, at Neupart er en sund forretning i vækst og har stort potentiale til yderligere vækst."

Yderligere oplysninger:

Direktør Lars Neupart, LN@neupart.com,  mobil 4015 6065

Neupart A/S

Hollandsvej 12

2800 Lyngby

Tel 7025 8030

Tillykke!

Vi kan derfor sige tillykke til

Lennart Amden, It-sikkerhedskoordinator, Helsingør kommune.

Præmien er afsendt.

Neupart har netop gennemført en kundetilfredshedsmåling. Blandt deltagerne har vi trukket en vinder af en iPod Touch 32 GB. Se, hvem der vandt.

Ros og forslag

Målingen gav Neupart en masse ros og en række konstruktive forslag, som Neuparts udviklingsafdeling allerede nu arbejder ihærdigt på.

Hele 95% af kunderne siger, at de er tilfredse eller meget tilfredse med at være kunde hos Neupart som helhed. 38% er meget tilfredse og 57% er tilfredse.

5% svarede neutralt. Ingen er mindre tilfredse eller utilfredse.

Spørgsmålet det blev stillet var "Hvor tilfreds er du med at være kunde hos Neupart som helhed?". Der var 82 kunder, der svarede på undersøgelsen.

Tilfredsheden vokser efter anskaffelsen

Undersøgelsen viser, at kundernes tilfredshed med Neuparts support vokser efter købet . Kunderne giver således Neuparts Support bedre karakter efter køb, i forhold til før køb. Lars Neupart, stifter og direktør i Neupart A/S kommenterer: - Det er dejligt at se, vores kunder er tilfredse med den service, som vi giver. Jeg har selv oplevet enkelte leverandører, hvor servicen var større før købstidspunktet. Godt, at Neuparts kunder oplever det modsatte.

I begrundelsen fremhæves SecureAware's innovative design, der gør det muligt at sammenligne en virksomheds interne politikker med ISO 27000, PCI DSS og CoBIT 4.1 samtidigt.

Læs mere om hvorfor SecureAware vandt

Lightwave Security

Neuparts amerikanske partner Lighwave Security har sendt en pressemeddelelse ud om prisen.

Pressemeddelelse om prisen

Staten har besluttet gradvist at indføre den internationale standard for informationssikkerhed, ISO/IEC 27001. Institutionerne kan nu vælge, om de vil skifte til den mere fleksible og mere ledelsesfokuserede ISO-standard, eller om de køre videre med den danske standard, DS 484 i op til 3 år.

DS484-standarden har utvivlsom løftet statens sikkerhedsniveau. Alligevel roser Lars Neupart, stifter og direktør i Neupart A/S nu staten for en pragmatisk og fornuftig beslutning. Der er flere årsager til, at skiftet er en god idé:

• Det er enkelt at skifte til ISO 27001.
• Skiftet mindsker risiko for, at institutioner bruger ressourcer på unødige sikringsforanstaltninger i fremtiden.
• ISO-standarderne holdes ajour. Det er i modsætning til DS 484, hvis fremtid synes noget usikker.
• Informationssikkerhed er et område i udvikling, og et standardskift synes u-undgåeligt.
• ISO 27001 beskriver et ledelsessystem for informationssikkerhed. Ledelsens engagement og stillingtagen til, hvor meget sikkerhed en institution har brug for, er både krævet og sundt. Det er en anden indgangsvinkel end DS484, der er af mange betragtet som en check-liste-standard efter "one size fits all"-princippet.
• Fordelene i det udførte DS484-arbejde nemt kan videreføres og genanvendes i ISO-sammenhæng ved hjælp fra softwareløsningen SecureAware

Neupart er den første og eneste it-sikkerhedsleverandør, som selv er ISO 27001-certificeret. Ingen anden dansk leverandør har assisteret flere virksomheder med ISO 27000-projekter. Neupart er virksomheden bag compliance-løsningen SecureAware, der gør det nemt at skifte standard. Løsningen understøtter både DS484, ISO27001, 27002 og 27005 og en række andre standarder.

IT- og Telestyrelsens nyhed

Finansministeriet: Enklere at sikre it-sikkerhed (se side 49)

Omtale i Version 2

Den konkrete ISO-løsning

Hvis du vil vide mere om ISO27000-serien

2009 compliance-tendenser for informationssikkerhed

Af Lars Neupart, direktør i it-sikkerhedsvirksomheden Neupart A/S.

It-branchen vælter sig i forkortelser - og nogle af dem glemmer vi hurtigere end andre. En vi så mere til i Danmark i 2009,  og som har chancer for at blive hængende i længere tid, er GRC: Governance, Risk- , og Compliance management. It-delen af GRC omfatter :

• Governance: It-ledelse, it-sikkerhedsledelse, tilpasning af it og it-sikkerhed med forretningsmål, ISMS, sikkerhedspolitikker, beredskabsplaner, forankring, awareness-kampagner med mere.
• Risk Management: Hvor stor er organisationens "risikoappetit".  Hvordan afhænger forretningen af it, og hvad gør ondt på forretningen (konsekvensvurdering, "BIA"). Og hvor sandsynligt er det, at det sker? Hvordan håndterer organisationen disse risici?
• Compliance Management: Identifikation og aktiviteter, der sikrer efterlevelse (helt eller delvist) af kravsæt eller anbefalinger, typisk i  form af lovgivning, kundekrav eller standarder for et område eller en branche.

Jeg vurderer GRC-begrebet som overlevelsesdygtigt, fordi langt de fleste, hvis ikke alle, organisationer har brug for de tre begreber hver for sig.

Betalingskortstandarden PCI DSS (Payment Card Industri - Data Security Standard) er ikke slået rigtigt igennem i Danmark. Standarden er måske blevet opfattet som en standard, der primært henvender sig til den finansielle sektor. Den er dog måske reelt vigtigere for detail-branchen, som ganske vist kontraktmæssigt kan forpligte sine it-leverandører til at efterleve betalingskortkravene, og i nogen udstrækning kan nøjes med elektoniske erklæringer om dette. Men man kan som bekendt ikke helt eliminere sit eget ansvar med en leverandøraftale.

Leverandøraftaler er også en vigtig ingrediens i forbindelse med et andet meget omtalt fænomen: Cloud computing.  Skeptikere siger, at cloud computing kan være en modsætning til compliance; i hvert fald compliance med nogle love og standarder. Sikkerheden i skyen afhænger af typen af sky, og der er masser af udfordringer. Der er også en særdeles  tiltalende økonomi i cloud computing, og derfor arbejder mange personer og organisationer aktivt på at løse sikkerhedsproblemerne og compliance-udfordringerne.  I 2009 så vi vejledninger fra blandt andet  Cloud Security Alliance og Enisa. Der er håb forude!

Beredskabsplanlægning  er en anden voksende tendens, som vi så i 2009.  En af de mest fremstormende britiske standarder er BS25999, som beskriver et "Business Continuity Management System". Det er nu muligt at få certificeret beredskabsstyring. PS: Det var briterne der opfandt forløberne til ISO2700x og dermed DS484.

Apropos DS484, så blev 2009 også året, hvor lidt flere begyndte at stille fornuftige spørgsmål til omfanget af DS484-efterlevelse. I staten har en del institutioner oplevet DS484-efterlevelse som bureaukratisk. Det er ikke underligt, for der kræves meget før man kan påberåbe sig efterlevelse. ISO2700x-familien giver mere fleksibilitet og fokuserer mere på ledelsesdelen og på processerne. I sidste ende er det dog et governance-spørgsmål, hvor stringent DS484-efterlevelse indføres i praksis. Det bliver spændende at se, om det nye år giver en beslutning om hvorvidt DS484 skal opdateres som en selvstændig dansk standard. Den ISO-standard, der var grundlaget  for DS484 er i mellemtiden blevet til en serie af standarder med foreløbigt 5 dokumenter, og der er allerede flere opdateringer på vej. Så en beslutning er nødvendig.

Lovgivningsmæssigt er det stadig de gamle travere, som persondatalov, bogføringslov  og markedsføringslov, hvor "compliance" har mest it-relevans i Danmark. Det er værd at bemærke, at i 2009 begyndte EU i højere grad at tale om "Data Breach Notification". Det betyder, at virksomheder, der sjusker med sikkerheden omkring borgeres informationer, kan blive forpligtet til at informere de personer, hvis data de har mistet. Jeg er imod regler for reglernes skyld, men dårlig informationssikkerhed bør ikke være gratis. Derfor kan lovgivning på dette område være en sund drivkraft for, at flere organisationer tænker sig ekstra godt om, og beskytter deres egne og deres kunders informationer ordentligt. Effekten vil utvivlsomt være bedre informationssikkerhed.

It-sikkerhedsvirksomheden Neupart A/S, er igen blevet ISO 27001-certificeret. Et certifikat udstedes for en 3-årig periode, og forudsætter at virksomheden, udover den fulde certificeringsaudit, også gennemgår et årligt opfølgningsaudit.

I november måned, havde Neupart igen besøg af auditørerne fra Dansk Standard, og resultatet var flot.

Neupart har gennem årene opbygget en erfaring og tradition for at være ISO 27001-certificeret:

• I 2003 blev Neupart certificeret i henhold til BS7799-2 standarden. De britiske standarder var forløber for ISO 27001 og DS484.
• I 2006 blev Neupart ISO27001-certificeret for første gang.
• I 2009 valgte Neupart endnu en gang at søge certificering.

Neupart's ISMS er selvfølgelig baseret på SecureAware, som forenkler ISMS-etablering og løbende opfølgning.

Læs mere om ISO 27001 her.