Dataintegritet i cloud-løsningen
Organisationer verden over fortsætter med at lagre mere og mere af deres information i cloud-løsningen. Dette er i bund og grund en god ting, da cloud-løsningen næsten altid er mere sikker end et lokalt kontor eller en virksomheds eget datacenter. Desværre følger sikkerheden ikke altid med tilstrækkeligt i det stigende datatilsig til cloud-løsningen. For eksempel krypterer ikke alle data ‘inaktive’, har fuldt overblik over, hvilke data der faktisk findes i virksomhedens cloud-applikationer, eller bruger Data Loss Prevention (DLP)-funktioner til at beskytte mod forskellige typer datatab. Mange virksomheder tillader også adgang til virksomhedsgodkendte cloud-tjenester fra personlige enheder, hvilket kan føre til, at følsomme oplysninger downloades fra cloud-løsningen til en ukontrolleret personlig enhed.
For alle, der håndterer følsomme oplysninger – ikke mindst persondata og kundedata – er det ekstremt vigtigt, at alt er sat korrekt op, at du har de rette sikkerhedsprocedurer på plads (som også følges) og fuld gennemsigtighed omkring, hvor og hvordan data lagres og beskyttes.
Dine cloud-tjenester kan overtræde GDPR-regler
Reglerne for håndtering af persondata har været gældende i flere år, og indtil nu har de store amerikanske cloud-tjenesteudbydere støttet sig til Privacy Shield-aftalen. Men siden EU-Domstolen ugyldiggjorde Privacy Shield, er det ikke længere tilladt kun at referere til denne aftale for at vise EU-overensstemmelse. I stedet er det nu op til den enkelte virksomhed at vurdere, om der er tilstrækkelig beskyttelse til at sikre overholdelse af GDPR-kravene.
Data-kryptering kan give sådan en beskyttelse for organisationen, men det er vigtigt at huske, at bevisbyrden i dette tilfælde ligger hos den enkelte virksomhed. Det er derfor den enkelte virksomhed, der skal kunne garantere, at ingen ekstern organisation (såsom den amerikanske NSA) har knækket de aktuelle krypteringsniveauer. Dette er en garanti, som er ekstremt vanskelig, hvis ikke umulig, for enkelte organisationer at levere.
Alt i alt har vi en situation, hvor der er øget risiko for, at følsomme oplysninger kommer i de forkerte hænder – noget der i sidste ende også kan få økonomiske konsekvenser for de virksomheder, der håndterer oplysningerne. Nedenfor er nogle vigtige ting, som alle, der håndterer persondata (såsom kundedata), skal sikre og have i mente.
5 tips til at beskytte følsomme data
At få indsigt i cloud-løsningen og beskytte følsomme data er ikke så svært, som det kan synes. Men det drejer sig selvfølgelig om at vide, hvor man skal starte, og hvad man skal fokusere på. Og det handler om tekniske løsninger, politikker og procedurer samt at øge bevidstheden blandt alle medarbejdere.
- Vælg en cloud-tjeneste, der garanterer overholdelse af reglerne
Sørg for, at du kender databeskyttelseslovgivningen, der gælder i landet, hvor dine data vil blive lagret, såsom GDPR inden for EU, og om der er andre love, der kan overtrumfe nationale love, såsom US CLOUD Act. Glem ikke, at det er cloud-udbyderens bopælsland, der bestemmer, hvilke regler der gælder for data og applikationer, ikke den geografiske placering af datacentret.
- Kryptering er et must
Når du flytter til cloud-løsningen eller skifter cloud-løsning, skal du sikre, at din platform og cloud-løsninger tilbyder muligheden for at kryptere data – både når data lagres i cloud-løsningen og når data overføres eller deles med forretningspartnere. Hold dig også opdateret om kryptering – krypteringsteknologier og processer udvikler sig hurtigt. Organisationer, der ikke har gennemgået og om nødvendigt opdateret deres krypteringsmetoder, er ofte sårbare over for angreb.
- Kontrol, kontrol, kontrol.
Skab en enhedskontrolstrategi for at identificere og styre brugen af alle enheder, der kan lagre eller downloade data. Dette reducerer ikke kun risikoen for dårlige ting, der kommer ind i dit netværk – det kan også hjælpe med at forhindre lækage af følsomme oplysninger, enten ved et uheld eller med vilje. Brug applikationskontrol til at spore og begrænse unødvendig eller risikabel software.
Overvej også at begrænse adgangen til kundeinformation – ikke alle i en organisation behøver at kunne se kunders personlige oplysninger. Jo færre, der har et reelt behov for adgang, desto færre muligheder har angriberne for at finde et svagt punkt og stjæle data.
Det kan også være en god idé at opdele dine netværk. Dagens cyberkriminelle ønsker mere end blot en brugers adgangskode og nogle få filer – de ønsker adgang til dine bagvedliggende databaser, dit PoS-netværk og dit testnetværk. Overvej derfor at opdele dine netværk med kraftige firewalls, der behandler dine interne afdelinger som potentielt fjendtlige over for hinanden, fremfor at have en enkelt stor ‘intern’ barriere mod det frygtede ‘udenfor’.
- Glem ikke de basale sikkerhedsfunktioner
Der er en række ting, du altid bør have i dit sikkerhedsværktøj – uanset om vi taler om beskyttelse af persondata i cloud-løsningen eller andre steder. Sørg for eksempel for, at du har effektiv endpoint-, netværks- og e-mailbeskyttelse, der filtrerer de fleste spam, malware og filer. Lær dine medarbejdere at være mistænksomme over for e-mails, især dem med vedhæftninger, og at de altid skal rapportere usædvanlige e-mails eller vedhæftninger til IT-afdelingen. Desværre er der stadig alt for mange virksomhedens medarbejdere, der ved et uheld downloader malware ved at klikke på links eller vedhæftninger i e-mails.
Derudover bør du naturligvis have strenge adgangskodeprocedurer på plads, og ikke tillade kælenavne, fødselsdage eller favorithold som login til cloud-platforme, hvor følsomme data lagres. Hvis det er muligt, bør du altid implementere multi-faktor-godkendelse – faktisk taler mange nu om helt at slippe for adgangskoder og i stedet bruge biometriske løsninger.
Den såkaldte ‘shadow IT’ er en situation, der opstår, når medarbejdere bruger utallige cloud-tjenester uden dit kendskab. Prøv at få et overblik over, hvilke tjenester der faktisk bruges i din organisation, og hvordan de bruges. Informer dine medarbejdere om den stærkt uhensigtsmæssige karakter ved at flytte følsomme virksomhedsdatasæt til en privat Dropbox eller lignende. Selv om det er ‘mere bekvemt’ lige nu, kan det i høj grad øge risikoen for, at oplysningerne falder i de forkerte hænder (især hvis adgangskoden til Dropbox-kontoen er svag eller aldrig er blevet ændret).
Hurtig og kontinuerlig patching er en anden meget vigtig del af dit sikkerhedsarbejde. Kendte, men ikke patched sikkerhedshuller er en af de mest almindelige angrebsvektorer, som kriminelle udnytter. Desværre bliver patching ofte forsømt og nedprioriteret. Overvej derfor at købe værktøjer eller tjenester, der håndterer patching for dig. Det vil sikre, at dit operativsystem og dine applikationer altid er opdateret med de nyeste sikkerhedsrettelser.
- Gem kun det, der er absolut nødvendigt
At indsamle unødvendige kundedata er ikke blot spild af energi og ressourcer, men giver også et større mål for angriberne at fokusere på. Det kan også nemt få kunder til at bekymre sig og undre sig over, hvorfor du overhovedet har behov for at indsamle så mange oplysninger. Så indsamle og opbevar kun, hvad du virkelig har brug for til forretningsformål. Du kan også gå et skridt videre og tilbyde kunderne muligheden for at vælge, om de vil dele personlige oplysninger med dig.
I stedet for altid at prøve at få så meget som muligt ud af kundedata (mange virksomheder tilmelder stadig automatisk deres kunder til mailings umiddelbart efter en transaktion), så overvej efter din virksomhed har færdiggjort kommunikationen med dem at destruere alle data efter brug. Denne type sikkerhedstankegang styrker kundernes tillid til dine privatlivsbestræbelser.
Afslutningsvis – gør kundens privatliv til alles prioritet
Databeskyttelse vedrører alle. Kundernes sikkerhed er alt for kritisk til at blive håndteret af et udvalgt fåtal. Når du har omfattende sikkerhedsprocedurer og politikker på plads, så sørg for, at alle i din organisation forstår dem og, vigtigst af alt, følger dem. For eksempel bør du lægge ekstra vægt på at sikre, at dine medarbejdere forstår de potentielle risici ved at bruge deres egne enheder eller netværk uden for kontoret.
