Verktyget för mer än ITSM: Exempel på hur en kund använder TOPdesk för Governance, Risk Management och Compliance (GRC)

2019-12-13 in Integration

De flesta av våra kunder som använder TOPdesk börjar använda systemet för IT och andra supporterande avdelningar. Ibland överraskar kunderna oss när de berättar om andra användningsområden och hur TOPdesk hjälpt dem i sitt dagliga arbete. Läs vidare för att ta reda på hur TOPdesk kan hjälpa er verksamhet få kontroll över organisationen GRC-arbete.

GRC inom Finansbranschen

Kunden vi skriver om är en viktig spelare inom den Europeiska finansmarknaden. Företaget hanterar miljoner av transaktioner dagligen. Det är viktigt att deras tjänster är pålitliga för att deras transaktioner ska fungera smärtfritt. Oväntade större problem kan få enorma konsekvenser för deras stabilitet inom finansmarknaden. Detta företag, och många andra inom finanssektorn måste arbeta inom ett brett spektrum av riskhantering, regelefterlevnad och säkerhetsfrågor. Detta arbete sammanfattas under begreppet Governance, Risk Management och Compliance, vanligen förkortat till GRC.

"Vi måste kunna garantera att transkationerna vi hanterar är säkra vid varje tidpunkt. Revision och Regelefterlevnad genom att föra protokoll är otroligt viktigt", säger företagets it-säkerhetsdirektör. Som ett tillägg till den årliga revisionen, bedömningar och den finansiella revisionen, är företaget ofta granskade av externa parter årligen.

Hur hanterar man GRC och ITSM inom samma verktyg?

” "När vi började hantera vår egen IT-säkerhet tidigare, var vi fokuserade på att skydda vår infrastruktur, för att säkerställa att ingen kunde ta sig in i vårt nätverk. Cybersäkerhet var inte ett särskilt hett ämne vid den tidpunkten", förklarar IT-säkerhetschefen. "Men mycket har förändrats sedan dess. När vi gjorde en kontroll av vår cyber-motståndskraftsförmåga för ett par år sedan, så klarade vi det helt ok, men det fanns definitivt rum för förbättring. Under närmre två år, installerade vi ett gediget säkerhetssystem för att hantera våra mest vitala system, och fortsatte arbetet med att förbättra vår it-säkerhet."

Som tur var, behövde inte företaget börja om från början. De bestämde sig för att använda ett redan befintligt och välkänd säkerhetsramverk: NIST. NIST utför ett stort antal kontroller för att säkerställa IT-säkerhet, och finansföretaget adderade ytterligare ett par kontroller som var mer specifika gentemot organisationen. Till exempel, nu har företaget på ett system som hjälper säkerhetsgruppen att hantera hot om DDOS-attacker och ytterligare system implementerades för att upptäcka it-säkerhetsincidenter.

”Nästa steg var att hitta ett verktyg som underlättar arbetet att hantera och bearbeta olika kontroller, och det är där TOPdesk kommer in. "Vi behövde ett sätt att hålla koll på att våra kontroller var uppdaterade och tillförlitliga för våra revisorer. Vi tittade på olika verktyg som enbart var fokuserade på GRC, men sedan fick vi upp ögonen för tillgångshanteringsmodulen, eller "new asset management" i TOPdesk. Vi använde redan verktyget för ITSM, men insåg att tillgångshanteringsmodulen öppnade upp för nya möjligheter inom GRC."

"Tillgångshanteringsmodulen ger oss möjligheten att skapa egna formulär och fält, så det var inte svårt att skapa nya tillgångskort för våra kontroller. Eftersom man kan länka återkommande aktiviteter till tillgångar, så kunde vi snabbt skapa ett system: En kontroll har en ägare. Vi lade till aktiviteter för att testa och årligen kontrollera och uppdatera kontrollkortet. TOPdesk skickar nu ut påminnelser till rätt kontrollägare årligen när dessa aktiviteter håller på att löpa ut och skapar granskning eller "testuppgift" för kontrollägaren. Ifall någon av kontrollägarna inte utför sina tillägnade uppgifter, så kan jag se att kontrollen löpt över tiden och på så vis kan jag agera därefter."

Det är vår tro att styrkan i cyber-säkerhet i stort beror på kvaliteten av konkret upprepade kontroller som man agerar utifrån. TOPdesks tillgångshantering och drifthantering ger oss ett flexibelt och effektivt arbetssätt - utan särskilt mycket manuellt arbete - att hantera och övervaka våra säkerhetskontrollers kvalitet och status.

 

inline-finance

 

Förhoppningar inför framtiden

"Vi är glada över att vi kan göra detta inom TOPdesk just nu, men vi ser alltid fram emot förbättringar. Här är några konkreta exempel: vi testar våra mätningar mot DDOS-attacker varje kvartal. TOPdesk genererar aktiviteterna som behövs för detta och påminner oss om uppgifterna som behöver göras. I framtiden, hoppas vi på att kunna snabbt och enkelt få en överblick över dessa återkommande säkerhetsuppgifter och dess medföljande kontrollers data rakt från TOPdesk. Revisorer vill ha sådana typer av bevis när de frågar oss om vad vi gör för att skydda vårt nätverk mot DDOS attacker. Vi är också väldigt glada över möjligheterna till att arbeta med TOPdesk data med Business Intelligence-verktyg. Vi började använda Microsoft Power BI och har skapat en informativ och snygg Dashboard med data som finns tillgänglighet från TOPdesk! Jag ser verkligen fram emot att se hur TOPdesk kommer fortästta expandera sin potential som ett fullskaligt GRC-verktyg."

Vill du läsa mer och fördjupa dig inom områdena som nämns i artikeln? Följ nedan länkar för att få reda på mer information:

Tillgångshantering (New Asset Management)

Integrationer med Business Intelligence-verktyg