Organisationer verden over fortsætter med at lagre mere og mere af deres information i cloud-tjenester. Det er i bund og grund en god ting, da cloud-løsninger næsten altid er mere sikre end et lokalt kontor eller virksomhedens eget datacenter. Desværre følger sikkerheden ikke altid med den massive tilstrømning af data til cloud-løsningerne. For eksempel krypterer ikke alle data ‘i hvile’, har fuldt overblik over, hvilke data der faktisk findes i virksomhedens cloud-applikationer, eller bruger Data Loss Prevention (DLP)-funktioner til at beskytte mod forskellige typer datatab. Mange virksomheder tillader også adgang til virksomhedsgodkendte cloud-tjenester fra personlige enheder, hvilket kan føre til, at følsomme oplysninger bliver downloadet fra cloud til en ukontrolleret personlig enhed.
For alle, der håndterer følsomme oplysninger – ikke mindst persondata og kundedata – er det ekstremt vigtigt, at alt er korrekt opsat, at de rette sikkerhedsprocedurer er på plads (og følges) samt at der er fuld gennemsigtighed omkring, hvor og hvordan data lagres og beskyttes.
Reglerne for håndtering af persondata har været gældende i flere år, og indtil nu har de store amerikanske cloud-udbydere baseret sig på Privacy Shield-aftalen. Men siden Europa-Domstolen ugyldiggjorde Privacy Shield, er det ikke længere tilladt udelukkende at henvise til denne aftale for at bevise EU-compatibilitet. I stedet er det nu den enkelte virksomhed, der skal vurdere, om der er tilstrækkelig beskyttelse for at sikre overholdelse af GDPR-kravene.
Data-kryptering kan give sådan en beskyttelse for organisationen, men det er vigtigt at huske, at bevisbyrden her ligger hos den enkelte virksomhed. Det er derfor den enkelte virksomhed, der skal kunne garantere, at ingen ekstern organisation (såsom den amerikanske NSA) har brudt den aktuelle krypteringsstandard. Dette er en garanti, som er yderst vanskelig, hvis ikke umulig, for enkeltvirksomheder at levere.
Alt i alt står vi i en situation med en øget risiko for, at følsomme data kommer i de forkerte hænder – noget der i sidste ende også kan få økonomiske konsekvenser for de virksomheder, der håndterer dataene.
Nedenfor er nogle vigtige ting, som alle, der håndterer persondata (som kundedata) skal sikre og overveje.
At opnå indsigt i cloud-løsninger og beskytte følsomme data er ikke så svært, som det måske synes. Men selvfølgelig handler det om at vide, hvor man skal starte, og hvad man skal fokusere på. Det handler om tekniske løsninger, politikker og procedurer samt at øge opmærksomheden blandt alle medarbejdere.
Sørg for at være bekendt med de databeskyttelseslove, der gælder i det land, hvor dine data skal lagres, som GDPR inden for EU, og om der er andre love, der kan tilsidesætte nationale regler, som for eksempel den amerikanske US CLOUD Act. Glem ikke, at det er cloud-leverandørens hjemland, der afgør, hvilke regler der gælder for data og applikationer, ikke den geografiske placering af datacentret.
Når du flytter til cloud eller skifter cloud-løsning, skal du sikre, at din platform og cloud-tjenester understøtter kryptering af data – både når data lagres i cloud-løsningen, og når data overføres eller deles med forretningspartnere. Hold dig også opdateret omkring kryptering – krypteringsteknologier og -processer udvikler sig hurtigt. Organisationer, der ikke har gennemgået og eventuelt opdateret deres krypteringsmetoder, er ofte sårbare over for angreb.
Opret en strategi for enhedskontrol for at identificere og kontrollere brugen af alle enheder, der kan lagre eller downloade data. Dette reducerer ikke blot risikoen for, at skadelige ting trænger ind i dit netværk – det kan også hjælpe med at forhindre, at følsomme oplysninger lækkes, enten ved uheld eller med vilje. Brug applikationskontrol til at overvåge og begrænse unødvendig eller risikabel software.
Overvej også at begrænse adgangen til kundeinformation – ikke alle i en organisation behøver at kunne se kundernes personlige oplysninger. Jo færre personer, der har reel adgang, desto færre muligheder er der for angribere at finde et svagt punkt og stjæle data.
Det kan også være en god idé at adskille dine netværk. Dagens cyberkriminelle ønsker mere end blot en brugers adgangskode og få filer – de vil have adgang til dine back-end databaser, dit PoS-netværk og dit testnetværk. Overvej derfor at adskille dine netværk med kraftfulde firewalls, der behandler dine interne afdelinger som potentielt fjendtlige over for hinanden, fremfor at have en enkelt stor ‘intern’ barriere mod det frygtede ‘ydre’.
Der er en række ting, du altid bør have i dit sikkerhedsværktøjskasse – uanset om vi taler om beskyttelse af persondata i cloud eller andre steder. For eksempel skal du sikre, at du har effektiv endpoint-, netværks- og e-mailbeskyttelse, der filtrerer de fleste spam, malware og filer fra. Lær dine medarbejdere at være mistænksomme overfor e-mails, især dem med vedhæftede filer, og altid at rapportere usædvanlige e-mails eller vedhæftninger til IT-afdelingen. Desværre er der stadig alt for mange virksomhedere, som utilsigtet downloader malware ved at klikke på links eller vedhæftede filer i e-mails.
Derudover bør du selvfølgelig have strenge adgangskodeprocedurer og ikke tillade kælenavne, fødselsdage eller yndlingshold som login til cloud-platforme, hvor følsomme data lagres. Hvis muligt, bør du altid implementere multi-faktor autentificering – faktisk taler mange nu om helt at afskaffe adgangskoder til fordel for biometriske løsninger.
Såkaldt ‘shadow IT’ opstår, når medarbejdere bruger utallige cloud-tjenester uden din viden. Prøv at få et overblik over, hvilke tjenester der faktisk anvendes i din organisation, og hvordan. Informer dine medarbejdere om, hvor uhensigtsmæssigt det er at flytte følsomme virksomhedsdata til en privat Dropbox eller lignende. Selv hvis det er ‘mere bekvemt’ lige nu, kan det markant øge risikoen for, at informationen falder i de forkerte hænder (især hvis adgangskoden til Dropbox-kontoen er svag eller aldrig er blevet ændret).
Hurtig og kontinuerlig patching er også en meget vigtig del af dit sikkerhedsarbejde. Kendte, men ikke patched, sikkerhedshuller er en af de mest almindelige angrebsveje, cyberkriminelle udnytter. Desværre bliver patching ofte forsømt og nedprioriteret. Overvej derfor at købe værktøjer eller tjenester, der kan håndtere patching for dig. Det sikrer, at dit operativsystem og dine applikationer altid er opdaterede med de seneste sikkerhedsrettelser.
At indsamle unødvendige kundedata er ikke blot spild af energi og ressourcer, men giver også et større mål for angribere at fokusere på. Det kan også nemt få kunder til at bekymre sig og undre sig over, hvorfor du i det hele taget har brug for så mange oplysninger. Så indsamle og gem kun, hvad du virkelig har brug for til forretningsformål. Du kan også gå et skridt videre og give kunderne mulighed for at vælge, om de vil dele personlige oplysninger med dig.
I stedet for altid at forsøge at udnytte kundedata mest muligt (mange virksomheder tilmelder stadig automatisk deres kunder til udsendelser umiddelbart efter en transaktion), så overvej, at når din virksomhed har afsluttet kommunikationen med kunderne, at destruere alle data, efter du har brugt dem. Denne form for sikkerhedstænkning styrker kundernes tillid til dine privatlivsinitiativer.
Databeskyttelse vedrører alle. Kundernes sikkerhed er alt for kritisk til at blive håndteret af et udvalgt fåtal. Når du har omfattende sikkerhedsprocedurer og -politikker på plads, skal du sikre, at alle i din organisation forstår dem og frem for alt følger dem. For eksempel bør du lægge særlig vægt på, at dine medarbejdere forstår de potentielle risici ved at bruge egne enheder eller netværk uden for kontoret.
Vi er drevet af at hjælpe vores kunder med at opnå større innovation og omkostningseffektiv IT. Vil du også gerne drage fordel af det nyeste inden for højtydende cloud-tjenester?
