Våra Tjänster

Governance (styrning), Riskhantering och Compliance (GRC) är begrepp som används för att beskriva metoder för att säkerställa att organisationer på tillförlitligt sätt efterlever mål och regulatoriska krav samt adresserar osäkerhet och risker.

Inom tjänsteområdet GRC erbjuder Secana:

  • Stöd till verksamhetsstyrning i syfte att säkerställa att organisationer möter befintliga lagstiftningar, föreskrifter och standarder.
  • Analys av befintliga krav och mål i syfte att ta fram regulatoriskt validerade och mätbara kravbilder
  • Stöd avseende genomförande av komplexa upphandlingar där lagar och regelverk ställer utmanande förutsättningar
  • System- och avtalsinventeringar för att kartlägga vilka personuppgifter som behandlas, till vilket syfte samt inventerar befintliga avtal. Tjänsten inkluderar en IT-avtalskartläggning, för att via kartläggning och genomlysning ge rekommendationer och åtgärdsförslag som:
    •  säkerställer att verksamhetsbehoven motsvaras av befintligt avtalsstöd
    • minskar verksamhetsriskerna
    • sänker kostnaderna
    • säkerställer avtalsvärdet och därigenom även företagsvärdet
  •  Råd relaterade till systematiskt riskhanteringsarbete, vilket primärt grundar sig på ISO 31000
  • Stöd och rådgivning för organisationer gällande lagar och förordningar,
    inklusive;
    •  EU-dataskyddsförordningen General Data Protection Regulation (GDPR)
    • NIS-direktivet (The Directive on Security of Network and Information Systems) och relaterad svensk lagstiftning
    • Säkerhetsskyddslagstiftning
  •  Revisioner och mognadsmätningar gentemot relevanta interna och externa krav

Kontinuitets- och krishantering blir allt viktigare delar av såväl privata som offentliga organisationers säkerhetsarbete. Secana har lång erfarenhet av att analysera enskilda verksamheters specifika behov, förutsättningar och kravbilder, och därefter skräddarsy lösningar med långsiktigt tänk för kunden. Ett långsiktigt, strukturerat och balanserat riskperspektiv med tydliggjord riskacceptans bidrar till en mer robust verksamhet och skapar förutsättningar för beslutsfattande baserat på väl övervägda affärs- eller verksamhetsrisker.

Kontinuitetsarbete

Kontinuitetshantering syftar till att hjälpa organisationer att uppnå resiliens gällande dess mest kritiska leveranser och funktioner. Kontinuitetshantering kan, förenklat, beskrivas som en systematisk process för att identifiera organisationens mest kritiska och skyddsvärda leveranser och funktioner och vidta åtgärder för att dessa skall klara turbulens.

Kontinuitetsarbetet leder till att organisationen blir bättre på att hantera förluster av delar av eller hela den operativa förmågan med minimal förlust av kritiska funktioner eller leveranser. Secana stöttar organisationer i detta arbete. Vi utgår alltid från en kombination av lång erfarenhet, applicerbara ISO-standarder (i kontinuitetsarbete främst 22301) samt den senaste forskningen för att ge optimalt stöd. Secana erbjuder tjänster inom;

Incident- och krishantering

Incident- och krishanteringsarbete innefattar att förebygga incidenter och kriser, förbereda för dem, hantera dem samt återställa verksamheten efter dem. Incident- och krishanteringsarbete är viktigt för alla typer av organisationer för att leva upp till kravbilder, ansvar och minimera risken för skadepåverkan på varumärket, ekonomin och verksamheten i händelse av incident eller kris. En etablerad och välövad krishanteringsorganisation har större möjlighet att kunna hantera en kris utan kritiska förluster.

Secana stöttar både privata och offentliga organisationer i varje del av detta arbete. Vi arbetar med ett helhetsperspektiv och ofta långsiktigt med att bygga upp varje del av organisationers krisberedskap och förmåga, men kan även erbjuda stöd med enskilda delar. Vi genomför övningar, vilket är ett effektivt sätt att snabbt öka en organisations förmåga att agera under kris, utvärdera planer, utbilda och träna personal eller göra förmågeanalyser på krisorganisationer

Inom tjänsteområdet kontinuitets-, incident- och krishantering erbjuder Secana tjänster inom följande områden:

Kontinuitetshantering
  •  Stöd till att identifiera kritisk verksamhet och framtagande av en strategi
  • Genomföra riskanalys och konsekvensanalys
  • Framtagning av kontinuitetsplan
  • Avbrottsplaner
  • Metod för förvaltning och uppföljning
  • Granskning, testning och övning
Krisplaner och utveckling av krisorganisation
  •  Stöd till att utveckla krisorganisationer långsiktigt
  • Strategiskt stöd och rådgivning
  • Utveckling av policy och planer
  • Stöd i utveckling av verksamhetsstrukturer och roller
  • Utveckling av rutiner samt utbildning och kompetensutvecklning
  • Stöd i att utveckla varningssystem
Incidenthantering
  •  Metodstöd
  • Rådgivning
  • Stöd till att utveckla organisationers förmåga att hantera olika typer av incidenter
  • Stöd till incidentrapportering enligt NIS-direktivet och GDPR (läs mer under GRC samt Informations- och cybersäkerhet)
  • Arbete utifrån ISO27000 och/eller ITIL
Krishanteringsövningar
  •  Planering, genomförande och utvärdering av övningar
  • Brett fält av skräddarsydda övningar på varierande nivå och omfattning,
    beroende på organisationens respektive förutsättningar, förmågor och mål
  • Spel, seminarium/workshops, skrivbordsövningar, funktionsövningar
    (Red-Blue team) och fullskaliga simuleringsövningar

 

Som en följd av det försämrade omvärldsläget har Sverige återupptagit totalförsvarsplaneringen. Myndigheter, regioner, kommuner, företag och organisationer behöver planera och förbereda för sin roll i totalförsvaret.

Totalförsvaret är den verksamhet som behövs för att förbereda Sverige för krig, och rör all samhällsverksamhet som ska bedrivas vid högsta beredskap. Totalförsvaret består av militär verksamhet (militärt försvar) och civil verksamhet (civilt försvar). Alla behöver bidra för att skapa ett motståndskraftigt samhälle.

Secana har expertis och erfarenhet inom kris och kontinuitetshantering, säkerhetsskydd och informationssäkerhet, vi kombinerar denna förmåga för att stödja er i er totalförsvarsplanering. Tillsammans kan vi utveckla er totalförsvarsplanering på ett rationellt sätt som stärker er organisation även i vardagen!

Secana stödjer er med att utveckla er totalförsvarsverksamhet bland annat genom:

  •  Stöd med kompetensutveckling kring totalförsvaret,
  •  Stöd vid identifiering av verksamhet som ingår i totalförsvaret,
  •  Stöd vid identifiering av verksamhetens beroenden,
  •  Stöd vid genomförande av risk och sårbarhetsanalyser ur ett totalförsvarsperspektiv,
  •  Stöd i utveckling av kontinuitetshantering svarande mot totalförsvarets krav,
  •  Stöd i utformning och genomförande av samverkan som behövs inom totalförsvarsplaneringen,
  •  Stöd vid kravställning mot leverantörer i totalförsvarsplaneringen.

Secana kan även bidra med förståelse av hybridhot,. Detta bland annat genom stöd och rådgivning kring vad hybridhot är och hur det kan påverka er verksamhet. Detta kan vi sedan tillsammans omsätta i er risk och kontinuitetshantering för att stärka er verksamhet.

Informations- och cybersäkerhet handlar om att förebygga skador, obehörig användning av och intrång i elektroniska informations- och kommunikationssystem (IS/IT, ICT). Illegalt tillskansande av information och åsidosättande av kommunikationssystem kan slå brett och får allvarliga konsekvenser. Integriteten hos, och tillgången till, information kan äventyras. Som en följd av detta kan omfattande störningar uppstå för enskilda verksamheter. Även den samlade förmågan hos nationer kan påverkas om upprätthållandet och driften av viktiga samhällsfunktioner och kritiska infrastrukturer störs eller hindras.

Inom tjänsteområdet informations- och cybersäkerhet stöttar Secana kunder i arbetet med att implementera lösningar utifrån varje kunds specifika behov och bransch vilket inkluderar att:

  • Genomföra risk- och sårbarhetsanalyser i informations- och cybersäkerhet
  • Utveckla modeller för omvärldsbevakning och krishantering i cybersäkerhet
  • Stärka samverkan i en värld av allt mer integrerade privata och offentliga sektorer
  • Genomföra riktade och specifika utbildningar samt andra medvetande- och kompetenshöjande insatser för medarbetare och chefer
  • Implementera ledningssystem för informationssäkerhet (LIS) – se erbjudande nedan
  • Security Operations Center (SOC) – se erbjudande nedan
  •  Fylla nyckelroller hos kunden, t ex Dataskyddsombud (DSO/DPO) och Informationssäkerhetsansvarig (Chief Information Security Officer – CISO).

Är du på jakt efter information och stöd kopplat till NIS-direktivet? Läs mer om våra tjänster under ”GRC”.

Som ett led i att stödja kunder i deras cybersäkerhetsarbete, samt i akuta skeden av pågående cybersäkerhetsincidenter, erbjuder Secana en SOC-tjänst som anpassas efter kundens behov.

Tjänsten kan inkludera;

  •  Implementering av verktyg för SOC-verksamhet i egen regi
  •  Implementering och övervakning av IT-miljö
  •  Analys och hantering av misstänkta och inträffade incidenter
  •  Stöd avseende rapportering av incidenter i enlighet med gällande lagar och föreskrifter
  •  Stöd avseende rapportering till ledning
  •  Stöd avseende rapportering till övriga relevanta aktörer

Tjänsten baseras på verktyg från Secanas samarbetspartner Cybereason (för mer information se www.cybereason.com)

Ledningssystem för informationssäkerhet (LIS) är ett stöd för hur informations-säkerhetsarbetet styrs i verksamheter. Secana har erfarna rådgivare med kunskap om informationssäkerhet och om LIS (baserat på standard SS-ISO/IEC 27000), samt krav på ledningssystem och informationssäkerhet enligt föreskrifter från myndigheters och kommuners informationssäkerhet (MSBFS 2016:1, 2016:4, 2016:5, 2016:7).

Utifrån kundens önskemål kan Secana bistå med;

  •  Projektledning och upplägg för implementering av LIS
  •  Kartläggning och dokumentation av befintliga informationssäkerhetsprocesser
  •  Etablering av processer för informationssäkerhet
  •  Produktion av styrande och redovisande dokumentation för informationssäkerhet
  •  Utbildning
  • Mentorskap

Under tjänsteområdet Systematiskt säkerhetsarbete samlar vi de tjänster som utgör viktiga beståndsdelar då en verksamhet vill bygga upp eller vidareutveckla sitt säkerhetsarbete.

Vår erfarenhet av att stödja kunder med säkerhetsskydd och skydd av kritisk infrastruktur innebär att vi har utarbetat arbetsmetoder för att, på ett kostnadseffektivt sätt, hjälpa våra kunder att bygga upp ett ändamålsenligt skydd som är en del av ett långsiktigt hållbart säkerhetsarbete.  

Den gemensamma nämnaren för tjänsteområdet är att vi arbetar med att skydda verksamheter som omfattas av högt ställda krav på säkerhet. Förutom krav på säkerhetsskydd så kan ett systematiskt säkerhetsarbete vara avgörande för att säkerställa efterlevnad av krav i andra regelverk (såsom GDPR, NIS-direktivet, krav på att arbeta i enlighet med ISO-standarder o.s.v.).

Våra kunder har ofta identifierat ett behov av att arbeta systematiskt med säkerhetsfrågor på grund av att de har skyddsvärda tillgångar som är kritiska för verksamheten eller som behöver skyddas med hänsyn till andra intressenter (exempelvis farliga ämnen).

Vi arbetar i hög utsträckning med verksamheter som är av betydelse för Sveriges säkerhet, verksamheter som särskilt behöver skyddas mot terrorism och verksamheter som tillhandahåller kritisk infrastruktur. Det vill säga verksamheter som faller inom ramen för säkerhetsskydds-lagstiftningen eller andra författningar och därmed omfattas av en mängd krav på hur skyddet av verksamheten ska vara utformat. Vår specialitet är att hjälpa kunder att implementera arbetsmetoder som säkerställer efterlevnad av identifierade krav samtidigt som de anpassas efter verksamhetens behov och förutsättningar.

Vårt arbete är huvudsakligen förebyggande och kan ibland innebära att vi hjälper kunder att bygga upp säkerhetsfunktioner som ska kunna ge verksamheten ett ändamålsenligt skydd under lång tid framöver. Vi strävar hela tiden efter att hjälpa våra kunder att bedriva ett systematiskt, ändamålsenligt och kostnadseffektivt säkerhetsarbete. Det är en självklarhet för oss att dela med oss av vår kunskap om hur säkerhets- och säkerhetsskyddsarbete kan organiseras och samordnas för att åstadkomma synergieffekter som innebär ett mervärde för kundens organisation och bidrar till organisationens övergripande verksamhetsmål.

Typiska uppdrag inom verksamhetsområdet Systematiskt säkerhetsarbete inkluderar bland annat:

  •  Metodutveckling & utveckling av processer
  •  Genomföra säkerhets- & säkerhetsskyddsanalyser samt ta fram säkerhetsplaner
  •  Utveckling inom effektiv ledning & styrning av säkerhetsarbete
  •  Mentors- & kompetensstöd till säkerhets- & säkerhetsskyddschefer
  •  Ta fram målsättningar för säkerhetsarbete
  •  Följa upp säkerhetsarbete utifrån fastställda målsättningar
  •  Utvärdera effekter av en verksamhets säkerhetsarbete
  •  Ta fram inriktande, styrande & stödjande dokument
  •  Utveckla funktioner för säkerhetskravställning vid upphandling
  •  Genomföra workshops och utbildningar samt hålla föreläsningar (se våra utbildningar)

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsklassificerade uppgifter.

Skillnaden mot andra säkerhetsrelaterade områden, såsom exempelvis skydd av samhällsviktig verksamhet, är att säkerhetsskyddet är avsett att skydda det som är av nationell betydelse.

Säkerhetsskyddslagstiftningen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).

I samband med att den nya säkerhetsskyddslagstiftningen trädde i kraft den 1 april 2019 så kom ett ytterligare antal verksamheter att omfattas av krav på säkerhetsskydd, och hos de verksamheter som sedan tidigare arbetat med säkerhetsskydd uppstod behov av att anpassa arbetssättet utifrån den förändrade lagstiftningen.

Vi arbetar kontinuerligt med att hjälpa våra kunder att hantera en mängd olika kravställningar som påverkar deras säkerhetsarbete, varav säkerhetsskydd är en typ av krav. Vi har lång erfarenhet av arbete med säkerhetsskydd inom ett stort antal myndigheter och företag, verksamma inom vitt skilda områden. Utifrån vår kompetens och erfarenhet kan vi hjälpa kunder att bygga upp ett ändamålsenligt och långsiktigt kostnadseffektivt säkerhetsskyddsarbete som är anpassat efter verksamhetens specifika behov och förutsättningar.

Kopplat till säkerhetsskydd erbjuder Secana bland annat:

Stöd vid analyser av säkerhetsskyddslagstiftningens tillämplighet på verksamheten.

Stöd vid genomförande av säkerhetsanalyser och upprättande av säkerhetsplanering.

Stöd avseende metodutveckling och förmågeutveckling inom säkerhetsskydd.

Stöd i utformning av informationssäkerhet från klassificering till praktisk hantering.

Stöd vid genomförande av befattningsanalyser och säkerhetsprövning.

Stöd i arbetet att kravställa säkerhetsskydd i upphandlingar (SUA).

Kompetensutveckling inom säkerhetsskydd (från kortare föreläsningar till omfattande specialistutbildningar).

 

Omvärldsbevakning och framtidsstudier har under de senaste åren beskrivit en förändrad säkerhetssituation och hotbild och identifierat väsentliga svagheter i samhällsförsvaret. Prognoserna inför framtiden präglas av en stor osäkerhet. Utvecklingen av Sveriges framtida resiliens och försvarsförmåga ställer krav på nya koncept, ny teknik, nya metoder och specialistkompetenser. Forskning och innovation (FoI) är ett av de mest kraftfulla sätten att hantera osäkerheter samt att tillvarata möjligheter som skapas genom nya metodiska och vetenskapliga genombrott.

I Sveriges nya totalförsvar utgör en förstärkt cybersäkerhetsförmåga en viktig del. Hybridhot och påverkansoperationer pågår i en gråzon som skapar omedelbara och allvarliga risker för den nationella säkerheten. Allt fler verksamheter påverkas och det finns en ökande medvetenhet om att samhällets kontinuerliga utveckling mot ökad försvarsförmåga och tålighet mot påfrestningar kräver en kombination av forskning, innovation och studier, inte minst inom cybersäkerhetsområdet.

Secana har lång erfarenhet av att stödja privata och offentliga verksamheter, både nationellt och internationellt, med riskhantering, kontinuitetshantering, incident- och krishantering, forskning, innovation och cybersäkerhet. Vi bygger solida relationer och är en kompetent och långsiktigt tillgänglig leverantör inom forskning och innovation. Vi stödjer kundens deltagande i konsortier och andra partnerskap.

  • Secana arbetar evidensbaserat genom samarbete med lärosäten, forskningsinstitut och internationella forskarnätverk och erbjuder:Planering, ledning och genomförande av FoI på koncernnivå
  •  Omvärldsbevakning, kompetensutveckling och kvalitetssäkring inom FoI
  •  Rådgivning och metodstöd inom ansökningar till utlysningar från forskningsfinansiärer samt inom koncept- och förmågeutveckling
  •  Deltagande i standardiseringsarbete inom cyberförsvar, totalförsvar och samhällssäkerhet
  •  Rapporter och analyser framtagna med vetenskapligt förankrade metoder
  •  Vetenskapligt meriterad expertis inom krishantering, organisation och informationssäkerhet med erfarenhet av arbete inom program vid Vinnova, EU, Europeiska försvarbyrån (EDA), och Europeiska försvarsfonden (EDF)
  •  Kompetensstöd och mentorskap till ledningsgrupper och forskningsansvariga chefer
  •  Genomförande av workshops, seminarier, utbildningar och föreläsningar (se våra utbildningar)

Secana kan genom sin solida kunskaps- och erfarenhetsbas även erbjuda operationsanalytiskt stöd (OA-stöd) till myndigheter inom områdena cyberförsvar, hybridhot, riskhantering, ledning och samverkan (LoS), internationella relationer, krishanteringsförmåga samt Människa-Teknik-Organisation (MTO).

Secana erbjuder såväl fasta utbildningar och föreläsningar som framtagande av unikt anpassade lösningar för våra kunder. Vi erbjuder utbildningar inom GRC, Informations- och cybersäkerhet, Systematiskt säkerhetsarbete samt inom Forskning och Innovation. Nedan presenteras våra aktuella utbildningar.

Secana erbjuder även övningsverksamhet inom respektive område, med fokus på kontinuitets-, incident- och krishantering. Övningar används för att validera policys, planer, processer, träning, utrustning och avtal mellan organisation; att förtydliga och träna personal i roller och ansvarstagande, förbättra koordination och kommunikation mellan organisationer, identifiera svagheter, förbättra organisatorisk förmåga och identifiera möjligheter för förbättringar. Vi hjälper er genom att planera, utföra och utvärdera övningar. Vår kunskap täcker ett brett fält av övningar – från diskussionsbaserade till operationella övningar; seminarier; workshops, teoretiska samt praktiska övningar (enligt ISO 22398). Läs mer under respektive tjänst.

Kontakta Oss