Information är i dagens samhälle en av de viktigaste tillgångarna. Förutom den information som Regent äger själva, hanterar vi också information som ägs av våra intressenter såsom kunder, leverantörer och andra samarbetspartners. Vi försäkrar oss om att all information, oavsett vem som äger den, hanteras på ett kontrollerat och strukturerat sätt. Vi anser att det är en kritisk framgångsfaktor för att vi ska uppnå våra verksamhetsmål.
Med informationssäkerhet avser vi skydd av information oavsett vilken form den har, hur den överförs eller lagras. Begreppet innefattar fysisk säkerhet, IT-säkerhet samt administrativ säkerhet.
Informationen skall skyddas mot alla hot oavsett om de är interna, externa, avsiktliga eller oavsiktliga. Vi ser det som en självklarhet att alla delar av säkerhetsarbetet inkluderas i organisationens samtliga uppdrag. Denna policy gäller för alla anställda, samarbetspartners, praktikanter, vikarier och konsulter i vår arbetsmiljö, internt och externt.
Regent arbetar med kontinuerlig förbättring vilket även avser ledningssystemet för informationssäkerhet. Detta säkerställer att Regent kontinuerligt utvecklar och förbättrar processerna inom informationssäkerhet, och minskar risken för eventuella informationssäkerhetsincidenter.
Säkerställande av att informationen är tillgänglig för behöriga aktörer, intressenter och användare när de behöver den.
Säkerställande av att informationen och behandlingsmetoder skyddas så att de förblir korrekta och fullständiga.
Säkerställande av att information är tillgänglig endast för dem som är behöriga.
• Alla anställda och underkonsulter skall vid onboarding och regelbundet därefter genomgå informationssäkerhetsutbildning.
• Alla anställda och underkonsulter är skyldiga att uppmärksamma och anmäla identifierade säkerhetsincidenter och säkerhetsobservationer, både internt och externt. Säkerhetsincidenter och säkerhetsobservationer ska rapporteras till närmsta chef, CISO eller genom Regents visselblåsarfunktion.
• Investeringar i informationssäkerhet ska utgå från verksamhetens behov och krav och därmed utgöra ett stöd för att uppnå uppsatta mål.
• Arbetet med informationssäkerhet ska följas upp kontinuerligt.
Regent har följande mål för informationssäkerhet
• Regent skall överträffa anställdas och externa parters förväntningar kring vår policys definition av tillgänglighet, Integritet och konfidentialitet gällande den information vi hanterar.
• Antal informationssäkerhetsincidenter skall begränsas så långt som är praktiskt möjligt, med sikte på nollvision att inga informationssäkerhetsincidenter alls inträffar.
• Den totala och genomsnittliga risknivån av samtliga Regents informationssäkerhetsrisker skall kontinuerligt minska.
• Alla anställda och underkonsulter skall vid onboarding och regelbundet därefter genomgå informationssäkerhetsutbildning.
Med medarbetare i denna policyn nedan menas en anställd eller underkonsult som arbetar för Regent.
• Alla datorer som är anslutna till Regents nätverk, eller som hanterar någon av Regents kritiska informationstillgångar, måste ha uppdaterad antivirusprogramvara installerad.
• Antivirusdefinitioner måste regelbundet uppdateras för att säkerställa skydd mot de senaste hoten.
• Schemalagda virussökningar bör utföras på alla system för att upptäcka och ta bort skadlig programvara.
• Browsers ska ha plugins för webbiltrering installerade som förhindrar användaren från att besöka osäkra hemsidor där skadlig kod sprids eller nätfiske (phishing) bedrivs.
• Alla bärbara enheter (laptoppar, smartphones, surfplattor) som används för arbetsändamål måste ha disk-kryptering aktiverad.
• Krypteringsnycklar behöver sparas på ett säkert sätt.
• Medarbetare måste se till att deras enheter är lösenordskyddade och inställda på att låsa sig automatiskt efter max 15 minuters inaktivitet.
• Förlorade eller stulna enheter måste omedelbart rapporteras till CISO och/eller närmste chef som kan hjälpa till att ta detta vidare.
• Medarbetare måste använda starka, komplexa lösenord som inkluderar en blandning av versaler och gemener, siffror och specialtecken (minst 3 av typerna, minst 8 tecken).
• Lösenord får inte delas med andra.
• Om lösenord ska skrivas ner eller sparas behöver det ske på ett säkert sätt såsom kassaskåp eller lösenordshanterare med stark kryptering. Om misstanke finns att någon annan fått tillgång till ett lösenord måste det omedelbart bytas och rapporteras som en säkerhetsincident. Lösenorden ska vara unika för varje konto eller system, det är alltså inte tillåtet att använda samma lösenord för flera konton.
• SSO genom Regents Active Directory är den inloggningsmetod som skall tillämpas default oavsett om aktuellt system innehåller känsliga informationstillgångar eller ej. Om SSO inte är möjligt att införa på grund av tekniska eller ekonomiska begränsningar skall multifaktorautentisering (MFA) aktiveras. Om inte heller det är möjligt att införa skall utvärdering ske om aktuellt systemstöd kan ersättas. Som sista utväg skall starka lösenord enligt ovan tillämpas.
• Alla hemligheter som skrivs ned i källkod på olika sätt skall hanteras på ett säkert sätt så att obehöriga inte får tillgång till dessa. Detta inkluderar att använda .gitignore files för att undvika incheckning av lösenord, hantering av connectionsträngar så att de inte innehåller lösenord i läsbart format och hantering av olika miljöfiler för att nämna några.
• Medarbetare tilldelas lägsta nivå av åtkomsträttigheter som krävs för att utföra sina arbetsuppgifter.
• Åtkomstbehörigheter måste granskas regelbundet, och överflödiga privilegier måste återkallas.
• För administrativa uppgifter bör ett separat, säkert konto användas och detta konto bör inte användas för vanliga aktiviteter.
• Som regel skall två personer ha administrativa behörigheter till ett system för redundans om någon av dessa blir disponibel. Samtidigt skall inte fler än så vara administratörer då Regent tillämpar minsta privilegium principen.
• Personer med administrativa rättigheter skall använda Regents lösenordshanterare som för att säkerställa att unika lösenord med tillräcklig komplexitet används.
• Känslig och konfidentiell data måste krypteras både under överföring och vila.
• Känslig och konfidentiell information får inte skickas genom okrypterade mail. Detta inkluderar att dokument inte får bifogas till mail om de innehåller sådan information. Regents systemverktyg för delning av dokument skall användas för sådana ändamål.
• Medarbetare får inte dela känslig information med obehöriga personer eller externa enheter.
• Personuppgifter om medarbetare och kunder måste hanteras i enlighet med gällande lagar och förordningar om dataskydd.
• Känslig och konfidentiell data får endast behandlas om det krävs för att utföra sina arbetsuppgifter.
• Operativsystem, applikationer och programvara måste regelbundet uppdateras med de senaste säkerhetspatcharna och buggfixarna från respektive tillverkare.
• Automatiska uppdateringar bör aktiveras där det är möjligt, och manuella uppdateringar bör utföras snabbt om automatiska uppdateringar inte är tillgängliga eller möjliga ur exempelvis ett driftsperspektiv.
• Om annat inte har förmedlats skriftligen gäller att all kompetensutveckling kring informationssäkerhet är obligatorisk att delta på.
• Incidenter hanteras enligt gällande incidenthanteringsprocess.
• Medarbetare måste omedelbart rapportera alla säkerhetsincidenter, brott eller misstänkta aktiviteter till CISO eller närmsta chef för att få hjälp att hantera incidenten.
• Incidenter kan även rapporteras anonymt genom Regents visselblåsarfunktion.
• Alla bärbara enheter (laptoppar, smartphones, surfplattor) som används för arbetsändamål måste ha ett kontinuerligt aktivt brandväggsskydd. (På per default på Windows, MacOS, Android och iOS)
• Åtkomst till organisationens nätverksresurser från externa platser bör ske genom säkra VPN-anslutningar.
• Fysisk åtkomst till IT-infrastruktur, servrar och nätverksutrustning måste begränsas till behörig personal endast.
• Regent tillämpar clear desk och clear screen policy. Detta innebär att efter varje arbetsdag skall eventuella anteckningar och annan information som har arbetats med under dagen avlägsnas.
• Datorer, lagringsmedier av olika slag och andra konfidentiella informationstillgångar såsom anteckningsblock skall låsas in i säkerhetsskåpet när de inte används.
• Fysiskt antecknad informationen som inte längre behövs skall förstöras i dokumentförstöraren om den innehåller känslig data.
• Vid möten i konferensrummet med skyltfönster ut mot gatan skall persiennerna dras igen om konfidentiell information visas på skärm eller antecknas på whiteboard.
• Användare uppmanas använda organisationens godkända molnbaserade lagringslösning där säkerhetskopiering sker regelbundet.
• Användare är ansvariga för att säkerställa att deras arbetsrelaterade data på lokala enheter säkerhetskopieras regelbundet för att undvika förlust av data vid enhetsfel, stöld eller andra olyckshändelser.
• Alla enheter som tas ur bruk, inklusive datorer, mobila enheter och lagringsmedia, måste genomgå en säker raderingsprocess för att säkerställa att all data raderas permanent och inte kan återställas.Innan enheter tas ur bruk måste all data och programvara säkerhetskopieras om det finns behov av att bevara informationen för framtida bruk eller dokumentationsändamål.
• Kontakta ”kontors- och adminansvarig” för att få hjälp att genomföra detta.
• Alla hemligheter, inklusive API-nycklar, lösenord, och certifikat, bör klassificeras som konfidentiell information och hanteras därefter.
• Direkt inmatning av hemligheter i källkoden i läsbart format är inte tillåtet.
• .gitignore-filer skall konfigureras för att automatiskt utesluta filer och mappar som innehåller känslig information från att checkas in i versionshanteringssystem.
• Miljövariabler skall användas för att injicera hemligheter i applikationen vid start. Dessa variabler bör hanteras utanför källkoden och skyddas genom lämpliga åtgärder i utvecklings-, test-, och produktionsmiljöer.
• Hemligheter ska lagras i krypterad form, både i vila och under transport. Stark kryptering skall användas och nycklar skall hanteras på ett säkert sätt.
• Automatiska processer skall sättas upp för att rotera hemligheter regelbundet och efter varje misstänkt säkerhetsincident.
• Data måste anonymiseras. Exempelvis namn och personnummer.
• Säkerhetsklassad information får inte skrivas in. Exempelvis lösenord, connectionsträngar eller annan data känslig för Regents eller våra kunders verksamheter.
• Säkerställ att Regents och våra kunders regler, rutiner och policys efterlevs gällande hur dessa tjänster får användas.
• Tillämpa försiktighetsprincipen. Klipp inte in källkod eller data om du är osäker på ifall det kan utgöra en säkerhetsrisk.
• Reguljära säkerhetsrevisioner och efterlevnadskontroller kommer att genomföras för att säkerställa att organisationens IT-säkerhetspolicyer och förfaranden följs.
• Reguljära säkerhetsrevisioner och efterlevnadskontroller kommer att genomföras för att säkerställa att organisationens IT-säkerhetspolicyer och förfaranden följs.
• Bristande efterlevnad av IT-säkerhetspolicyer kan leda till disciplinåtgärder, inklusive men inte begränsat till, avstängning, uppsägning, rättsliga åtgärder och ekonomiska påföljder.
Denna IT-säkerhetspolicy är utformad för att skydda organisationens digitala tillgångar, säkerställa konfidentialitet, integritet och tillgänglighet hos data samt minimera säkerhetsrisker. Medarbetare förväntas sätta sig in i denna policy och följa dess riktlinjer vid alla tidpunkter.
Alla medarbetare måste skriva under att man läst, förstått och följer innehållet i denna policy. Därefter behöver Regent skicka ut denna policy minst en gång per år för att påminna och utbilda om vilka regler som gäller, och vad de berörda har skrivit under på att de ska följa.