Tjänst, projektbaserad
En strukturerad mognadsbedömning av cybersäkerheten i organisationen. Två workshops, granskning av dokumentation och tillgångsinventarium, och en rapport som ger ledningen en prioriterad färdplan istället för en sårbarhetslista.
Mappad mot NIST CSF 2.0, ISO 27001:2022, NIS2-direktivet, CRA (Cyber Resilience Act) och, vid OT-exponering, IEC 62443. Levereras som ett projekt på 4-6 veckor.
Det vi går igenom
Områdena nedan kommer ur ramverk som NIST CSF, ISO 27001 och NIS2. Vi anpassar omfattningen efter er bransch och er exponering, men ger en bedömning av varje där det är relevant.
Vilka system, tjänster och informationstillgångar finns idag, vem äger dem, var lagras de, och vad är klassificeringen. Det är fundamentet, eftersom inget av det som följer går att göra på ett sätt som håller över tid om det här är luddigt.
IAM-mognad, MFA-täckning, SSO-strategi, segregation of duties, principen om minsta privilegium. Hur ni hanterar identiteter både för anställda och externa system, och vad som händer när någon slutar.
Skanningskadens (kvartalsvis, vid release), patch-cykler, exception-process, leverantörers säkerhetsuppdateringar. Hur risken hålls nere mellan de återkommande externa pentesterna.
Segmentering mellan zoner, VLAN-strategi, brandväggsregler, SOC/MDR-status, SIEM-täckning, EDR på endpoints. Om en angripare bryter sig in, hur snabbt märks det och hur långt kan de röra sig.
IR-plan, BCP/DR-dokumentation, RTO/RPO för kritiska system, övningar och scenarier, kontaktkedjor, rapporteringskrav (NIS2 har korta tidsgränser). Roller och ansvar, inte verktyg.
Gap-analys mot NIS2, CRA-beredskap, ISO 27001-status, GDPR Art. 28-uppfyllelse i leverantörsled, säkerhetsbilaga i upphandling, CISO-roll och GRC-funktion.
Så går det till
Vi går igenom omfattning, era prioriteringar, vilka ramverk som är obligatoriska för er, och vem från er sida som ska delta i workshopen.
Två heldagar med nyckelpersoner. Tillgångar, risker, beroenden, dokumentation, hot-modellering. Whiteboard, inte powerpoint.
Vi analyserar nätverksdiagram, policys, asset-lista och workshop-output mot ramverk. Skriver rapportutkast, mappar gap, prioriterar.
Skriftlig slutleverans plus en muntlig genomgång med ledning. Inom 60 dagar gör vi en uppföljning för att se vad som rört sig.
Var den passar in
Den här tjänsten svarar inte på frågan "vilka sårbarheter har jag idag". Det är vad vår kontinuerliga plattform gör, var dygn.
Den svarar på frågan "var ska vi investera, och i vilken ordning". Båda behövs. Kunder kombinerar oftast strategisk säkerhetsanalys vart 18-24:e månad med pågående kontinuerlig övervakning däremellan.
Läs mer om den kontinuerliga sidan: Verifieringsmotorn och MCP för AI-agenter.
Vi går igenom om strategisk säkerhetsanalys passar för er just nu, eller om något annat är mer rätt i nuläget. Vi säger till om vi tycker att ni inte behöver det.