Cybersäkerhet – We are Pears AB

Q: Vad ingår i en säkerhetsrevision från Pears?

En säkerhetsrevision hos oss inleds alltid med ett discovery-samtal där vi kartlägger er miljö, era tillgångar och er hotbild. Utifrån det levererar vi en prioriterad risklista, konkreta åtgärdsrekommendationer och, om önskat, ett förslag på fortsatt engagemang.

Q: Hur lång tid tar en ISO 27001-certifiering?

Med dedikerade resurser och ett engagerat internt team tar ISO 27001-processen typiskt 12–20 veckor från gapanalys till certifikat. Vi har genomfört det på 14 veckor för ett medelstort fintech-bolag.

Q: Behöver vi anställa en CISO för att vara GDPR-compliant?

Nej. GDPR kräver i vissa fall ett dataskyddsombud (DPO), men inte en intern CISO. Vad ni behöver är processer, dokumentation och tekniska kontroller — något vi kan leverera som en inbäddad funktion.

Q: Vad är skillnaden mellan penetrationstestning och sårbarhetsskanning?

Sårbarhetsskanning är automatiserad och identifierar kända svagheter. Penetrationstestning är manuell: en erfaren testare försöker aktivt utnyttja svagheter, kedja ihop sårbarheter och nå ett mål — precis som en verklig angripare.

Q: Hur hanterar ni EU AI Act-krav för AI-system?

EU AI Act klassificerar AI-system efter risknivå. Vi gör en klassificering av era AI-system, identifierar krav och implementerar de tekniska och organisatoriska kontroller som krävs för er riskklass.

Q: Kan ni arbeta med vårt befintliga säkerhetsteam?

Ja — det är vår föredragna modell. Vi inbäddar oss i er organisation som kompletterande kapacitet. Vi jobbar i era verktyg, era processer och med era standarder.

< 15 min P1 incident SLA

ISO 27001 · GDPR · NIS2 · DORA · EU AI Act Compliance-ramverk vi arbetar med

5–7 dagar Operativt säkerhetsteam på plats

Vad vi gör

Sex säkerhetstjänster — ett sammanhållet skydd

Från initial riskanalys till löpande drift. Varje tjänst kan aktiveras fristående eller som del av ett samlat säkerhetspaket.

GDPR & EU AI Act-compliance

Kartläggning av personuppgiftsflöden, DPIA för AI-system och löpande rådgivning. Vi ser till att er AI-transformation uppfyller nuvarande och kommande EU-krav.

DPIA och integritetsanalys
EU AI Act-klassificering
Policydokumentation

Hotmodellering & Riskanalys

Vi identifierar era kritiska tillgångar, modellerar angriparscenarion och kvantifierar risk — så att säkerhetsinvesteringar träffar rätt, inte bara ser bra ut på papper.

STRIDE- och PASTA-modellering
Tillgångsinventering
Kvantifierad riskrapport

Penetrationstestning

Kontrollerade intrångstester mot webb, API, infrastruktur och intern miljö. Återkoppling i kod, inte bara PDF-rapport. Retesting ingår alltid.

Webb- och API-testning
Infrastruktur & nätverk
Retesting utan extra kostnad

ISO 27001 & Certifieringsstöd

Vi driver er ISO 27001- eller SOC 2-resa: gapanalys, kontrollimplementering, intern revision och stöd under certifieringsrevision.

Gapanalys & handlingsplan
Kontrollimplementering
Stöd vid extern revision

DevSecOps-integration

Säkerhet direkt i CI/CD-pipeline. SAST, DAST, dependency scanning, secrets detection och container security — automatiserat, inte manuellt.

Pipeline-integrerad scanning
Container- och IaC-säkerhet
Secrets management

Security Operations (SOC)

Löpande hotövervakning, SIEM-konfiguration, alerthantering och incidentrespons. Täcker det operativa som intern personal sällan hinner med.

SIEM & logghantering
Alerthantering & triage
Incidentrespons < 15 min

Hur vi arbetar

Från första genomgång till operativt skydd — på tre steg

01

Security Assessment

Vi börjar med att förstå er miljö, inte sälja en standardlösning. Kartläggning av tillgångar, hotbild och befintliga kontroller. Resultat: prioriterad risklista och konkret handlingsplan.

02

Arkitektur & Implementering

Vi designar och implementerar kontroller, processer och verktyg anpassade efter er organisation och er branschs regulatoriska krav. Inga generiska checklistor.

03

Drift & Kontinuerlig Förbättring

Löpande övervakning, regelbundna tester och kvartalsvisa genomgångar. Säkerhet är inte ett projekt — det är ett tillstånd vi hjälper er att hålla.

Vem vi arbetar med

Byggt för tekniska och operationella ledare

CISO / Säkerhetschef

Ni behöver kapacitet som täcker luckorna — inte ytterligare en leverantör att koordinera. Vi är en förlängning av ert team med tydligt mandat och full synlighet.

CTO i reglerad bransch

Fintech, healthtech, offentlig sektor: ni bygger snabbt men kan inte ta regulatorisk risk. Vi integrerar säkerhet i er utvecklingsprocess utan att sakta ner leveranstakten.

Risk & Compliance-ansvarig

GDPR-revisioner, EU AI Act-beredskap, ISO 27001-certifiering. Vi driver processen och producerar dokumentation — ni godkänner resultaten.

Kundcase

Fintech-bolag: från GDPR-risk till ISO 27001-certifierat på 14 veckor

Fintech ISO 27001 GDPR DevSecOps

En nordisk betalningsplattform med 40-personers teknikteam hade vuxit snabbare än sin säkerhetsarkitektur. Inga dedikerade säkerhetsresurser, oklar GDPR-hantering av transaktionsdata och en CI/CD-pipeline utan automatiserade kontroller. Styrelsen hade gett CTO:n 90 dagar att lösa det.

Vi satte in en senior säkerhetsarkitekt och en DevSecOps-ingenjör inom 6 dagar. Vecka 2–4: fullständig gapanalys mot ISO 27001 och kartläggning av personuppgiftsflöden. Vecka 5–10: kontrollimplementering, pipeline-härdning och personaldokumentation. Vecka 11–14: intern revision och extern certifieringsrevision.

ISO 27001-certifierat 14 veckor

GDPR-dokumentation Komplett

0 kritiska fynd Vid extern revision

Vanliga frågor

Frågor om cybersäkerhet och compliance

Vad ingår i en säkerhetsrevision från Pears?

En säkerhetsrevision hos oss inleds alltid med ett discovery-samtal där vi kartlägger er miljö, era tillgångar och er hotbild. Utifrån det levererar vi en prioriterad risklista, konkreta åtgärdsrekommendationer och, om önskat, ett förslag på fortsatt engagemang. Ni behöver inte ha en befintlig säkerhetsstruktur på plats — vi utgår från er nuläge.

Hur lång tid tar en ISO 27001-certifiering?

Med dedikerade resurser och ett engagerat internt team tar ISO 27001-processen typiskt 12–20 veckor från gapanalys till certifikat. Tidslinjens längd beror på organisationens storlek, komplexitet och hur mycket befintlig dokumentation som redan finns på plats. Vi har genomfört det på 14 veckor för ett medelstort fintech-bolag.

Behöver vi anställa en CISO för att vara GDPR-compliant?

Nej. GDPR kräver i vissa fall ett dataskyddsombud (DPO), men inte en intern CISO. Vad ni behöver är processer, dokumentation och tekniska kontroller — något vi kan leverera som en inbäddad funktion utan att ni behöver anställa. För organisationer under tillväxt är det ofta ett kostnadseffektivare alternativ.

Vad är skillnaden mellan penetrationstestning och sårbarhetsskanning?

Sårbarhetsskanning är automatiserad och identifierar kända svagheter. Penetrationstestning är manuell: en erfaren testare försöker aktivt utnyttja svagheter, kedja ihop sårbarheter och nå ett mål — precis som en verklig angripare. En skanning säger vad som kan vara öppet. Ett pentest säger vad som faktiskt kan utnyttjas.

Hur hanterar ni EU AI Act-krav för AI-system?

EU AI Act klassificerar AI-system efter risknivå. För högrisk-system krävs teknisk dokumentation, riskhanteringssystem, loggning och mänsklig övervakning. Vi gör en klassificering av era AI-system, identifierar krav och implementerar de tekniska och organisatoriska kontroller som krävs.

Kan ni arbeta med vårt befintliga säkerhetsteam?

Ja — det är vår föredragna modell. Vi inbäddar oss i er organisation som kompletterande kapacitet, inte som parallell organisation. Vi jobbar i era verktyg, era processer och med era standarder. Målet är att stärka ert team, inte ersätta det.

Nästa steg

Redo att säkra er transformation?

En 45-minuters genomgång räcker för att vi ska kunna ge er en kvalificerad bild av ert nuläge och prioriterade åtgärder.

Säkra er transformation — istället för att bromsa den