Kundecase
twoday har utført to Risiko- og sårbarhetsanalyser på teknisk nivå for to forskjellige leveranseteam hos Landbruksdirektoratet (LDIR). Begge er utført med NIST SP800-39 RMF (Risk Management Framework).
Det ble utført trusselmodellering, tekniske intervjuer med utviklere, kodeanalyse og en enkel sikkerhetstest med kjente verktøy som Burp Suite, Nmap, Wireshark, SQLmap og så videre.
twoday har kjørt flere leveranseteam hos LDIR som har benyttet seg av elementer fra utviklingsmetodikker som DevSecOps og SDL (Microsoft Secure Development Lifecycle). Dette har innebåret roller og ansvarsbeskrivelser, trusselmodellering, risiko- og sårbarhetsanalyser, håndtering av tredjepartsbiblioteker og rammeverk, input validering og sikkerhetstesting.
Utviklerteamene er kjørt med Security Champion som passer på at utvikling ivaretar sikkerhet og personvern slik Datatilsynets «Programvareutvikling med innebygd personvern» og GDPR anbefaler og krever. Det har vært sterkt fokus på kontroll av tredjepartsbiblioteker og rammeverk (software supply chain) og Input Validering.
twoday har også bistått LDIR med rådgivning i forbindelse med Landbruks- og matCERT.
Her ble det utviklet en guide for hvordan LDIR kunne drive sikker kommunikasjon med eksterne som varsler inn, internt mellom alle som er underlagt Landbruks- og matCERT og med NorCERT. Dette innebar blant annet sikre rutiner for kryptert e-post utveksling, kryptert dokumentdeling, krypterte telefonsamtaler og videosamtaler.
Salgsdirektør, twoday
COO, twoday Avento
torstein.odegard@avento.no
966 29 911