Sunne kommun väljer Fröjd som digitalbyrå!
Efter offentlig upphandling inleder Sunne kommun och Fröjd ett samarbete för utveckling, support och förvaltning av kommunens webbplats sunne.se.
Informationssäkerhet är en frågeställning som med all rätt kommit högt upp på agendan de senaste åren. Det är viktigt att hantera och skydda personuppgifter på rätt sätt, men också att säkerställa att man har en lösning som kan stå emot angrepp. Nedan har vi sammanfattat hur vi på Fröjd arbetar med informationssäkerhet – från att vi inleder ett samarbete eller projekt – till att vi underhåller och vidareutvecklar en applikation. Vi hoppas att detta kan vara goda råd på vägen!
Det första steget för att etablera effektiva säkerhetsåtgärder är att identifiera applikationens krav på konfidentialitet, integritet och tillgänglighet. Vi inleder våra projekt med att genomföra en informationsklassificering och en riskanalys. På så sätt kartlägger vi vilken typ av information en applikation ska hantera, vilka lagrum vi behöver förhålla oss till samt vilka åtgärder vi behöver vidta.
När man utvecklar en lösning behöver man göra det på ett sätt som gör den robust och motståndskraftig. Det finns ett par aspekter att ta hänsyn till och inkorporera i sitt arbetssätt.
Det kan också vara värt att utsätta sin applikation för penetrationstester. Vi jobbar med en kombination av automatiserade och manuella verktyg, exempelvis Detectify och Githubs Dependabot. Vi lasttestar också våra lösningar innan driftsättning vilket förutom att säkerställa att applikationen klarar den legitima trafiken också gör den svårare att överbelasta. Hanterar applikationen känslig information kan det vara bra att låta en oberoende part genomföra penetrationstester, exempelvis Truesec.
Bland det viktigaste man kan göra för att undvika intrång i en applikation är att se till att den hålls uppdaterad. Därför arbetar vi med en gemensam rutin över hela byrån så att alla de lösningar vi ansvarar för uppdateras kontinuerligt. Detta ger en bra och stabil grund men man bör också ha en rutin för att hantera akuta säkerhetshål och vara beredd att genomföra uppdateringar så fort en sårbarhet upptäcks.
Utöver att undvika intrång från utsidan är det också bra att ha koll på vilka som har tillgång till applikationen från insidan. Ett förhållningssätt är att utgå från principen “Minsta möjliga behörighet” och se till att man ger så låga granulära privilegier respektive användare av en applikation behöver. Det är också klokt att ha en återkommande rutin att se över och återkalla åtkomst kontinuerligt.
Plattformar och tjänster är ständigt utsatta för olika typer av hot. Därför är det viktigt att hålla sig uppdaterad och informerad. Ett sätt är att följa OWASP Top Ten som är en lista över de tio mest kritiska sårbarheterna inom webbapplikationssäkerhet men också att prenumerera på olika kanaler som löpande rapporterar om brister i den tech-stack man använder sig av.
Mikael Engström, Technical Director på Fröjd, diskuterar gärna era utmaningar. Kontakta honom på mikael.engstrom@frojd.se.