Organisasjoner over hele verden fortsetter å lagre mer og mer av sin informasjon i skyen. Dette er i utgangspunktet en god ting, da skyen nesten alltid er sikrere enn et lokalt kontor eller et selskaps eget datasenter. Dessverre følger ikke sikkerheten alltid med på datainntaket til skyen. For eksempel krypterer ikke alle data «i ro», har full synlighet i hva slags data som faktisk finnes i selskapets skyapplikasjoner, eller bruker Data Loss Prevention (DLP)-funksjoner for å beskytte mot ulike typer datatap. Mange selskaper tillater også tilgang til selskapsgodkjente skytjenester fra personlige enheter, noe som kan føre til at sensitiv informasjon lastes ned fra skyen til en ukontrollert personlig enhet.
For alle som håndterer sensitiv informasjon – ikke minst personopplysninger og kundedata – er det ekstremt viktig at alt er satt opp riktig, at du har de riktige sikkerhetsrutinene på plass (som også følges) og full åpenhet om hvor og hvordan data lagres og beskyttes.
Regelverket for håndtering av personopplysninger har eksistert i flere år, og inntil nå har de store amerikanske cloud-tjenesteleverandørene bygget på Privacy Shield-avtalen. Men siden EU-domstolen ugyldiggjorde Privacy Shield, er det ikke lenger tillatt å kun vise til denne avtalen som bevis på EU-kompatibilitet. I stedet er det nå opp til hver enkelt virksomhet å vurdere om tilstrekkelig beskyttelse er på plass for å sikre samsvar med kravene i GDPR.
Datakryptering kan gi slik beskyttelse for virksomheten, men det er viktig å huske at bevisbyrden ligger hos den enkelte virksomhet i dette tilfellet. Det er derfor den enkelte virksomhet som må kunne garantere at ingen ekstern organisasjon (som for eksempel den amerikanske NSA) har knekt dagens krypteringsnivåer. Dette er en garanti som er ekstremt vanskelig, om ikke umulig, for enkeltvirksomheter å gi.
Alt i alt har vi en situasjon der det er økt risiko for at sensitiv data kan falle i feil hender – noe som til slutt også kan få økonomiske konsekvenser for de selskapene som håndterer dataene.
Nedenfor følger noen viktige ting som alle som håndterer personopplysninger (slik som kundedata) må forsikre seg om og ta i betraktning.
Å få innsikt i skyen og beskytte sensitiv data er ikke så vanskelig som det kan virke. Men selvsagt handler det om å vite hvor man skal starte og hva man skal fokusere på. Og det handler om tekniske løsninger, retningslinjer og prosedyrer, samt bevisstgjøring blant alle ansatte.
Sørg for at du har kjennskap til databeskyttelseslovene som gjelder i landet der dine data skal lagres, som GDPR innen EU, og hvorvidt det finnes andre lover som kan overstyre nasjonale lover, slik som US CLOUD Act. Ikke glem at det er cloud-leverandørens bostedsland som styrer hvilke regelverk som gjelder for data og applikasjoner, og ikke den geografiske plasseringen av datasenteret.
Når du flytter til skyen, eller bytter sky, må du sørge for at din plattform og dine cloud-løsninger tilbyr mulighet for kryptering av data – både når data lagres i skyen og når data overføres eller deles med forretningspartnere. Hold deg også oppdatert på kryptering – krypteringsteknologier og prosesser utvikler seg raskt. Organisasjoner som ikke har gjennomgått og, der det trengs, oppdatert sine krypteringsmetoder, er ofte sårbare for angrep.
Lag en strategi for enhetskontroll for å identifisere og kontrollere bruken av alle enheter som kan lagre eller laste ned data. Dette reduserer ikke bare risikoen for at skadelige ting kommer inn i nettverket ditt – det kan også bidra til å forhindre at sensitiv informasjon lekker, enten ved et uhell eller med vilje. Bruk applikasjonskontroll for å spore og begrense unødvendig eller risikofylt programvare.
Vurder også å begrense tilgangen til kundeinformasjon – ikke alle i en organisasjon trenger å kunne se kunders personopplysninger. Jo færre som har et reelt behov for tilgang, desto færre muligheter har angripere til å finne et svakt punkt og stjele data.
Det kan også være en god idé å dele opp nettverkene dine. Dagens cyberkriminelle ønsker mer enn bare en brukers passord og noen filer – de vil ha tilgang til dine backend-databaser, ditt PoS-nettverk og ditt testnettverk. Derfor bør du vurdere å dele nettverkene dine med kraftige brannmurer som behandler dine interne avdelinger som potensielt fiendtlige overfor hverandre, i stedet for å ha en enkelt stor «intern» barriere mot det fryktede «utenfor».
Det finnes en rekke ting du alltid bør ha i din sikkerhetsverktøykasse – enten vi snakker om beskyttelse av personopplysninger i skyen eller andre steder. For eksempel, sørg for at du har effektiv ende-til-ende-, nettverks- og e-postbeskyttelse som filtrerer ut mesteparten av spam, skadelig programvare og filer. Lær opp dine ansatte til å være mistenksomme overfor e-poster, spesielt de med vedlegg, og til alltid å melde fra til IT-avdelingen om unormale e-poster eller vedlegg. Dessverre er det fortsatt altfor mange ansatte som ved et uhell laster ned skadelig programvare ved å klikke på lenker eller vedlegg i e-poster.
I tillegg bør du selvfølgelig ha strenge passordrutiner på plass, og ikke tillate kjælenavn, bursdager eller favorittlag som pålogging til skyplattformer der sensitiv informasjon lagres. Hvis tilgjengelig, bør du alltid implementere flerfaktorautentisering – faktisk snakkes det nå mye om å fjerne passord helt og bruke biometriske løsninger i stedet.
Såkalt «shadow IT» oppstår når ansatte bruker utallige cloud-tjenester uten din kunnskap. Prøv å få oversikt over hvilke tjenester som virkelig brukes i din organisasjon og hvordan de brukes. Informer dine ansatte om hvor kritisk upassende det er å flytte sensitiv bedriftsdata til en privat Dropbox eller lignende. Selv om det er «mer praktisk» akkurat nå, kan det øke risikoen for at informasjonen havner i feil hender betydelig (spesielt hvis passordet for Dropbox-kontoen er svakt eller aldri har blitt endret).
Rask og kontinuerlig patching er også en svært viktig del av sikkerhetsarbeidet ditt. Kjente, men upatchte sikkerhetshull er en av de vanligste angrepsvektorene som utnyttes av kriminelle. Patching blir dessverre ofte neglisjert og gitt lav prioritet. Derfor bør du vurdere å kjøpe verktøy eller tjenester som håndterer patching for deg. Dette sikrer at operativsystemet og applikasjoner alltid oppdateres med de siste sikkerhetsfiksene.
Å samle unødvendige kundedata er ikke bare sløsing med energi og ressurser, det gir også et større mål for angripere å fokusere på. Det kan også lett føre til at kunder blir bekymret og lurer på hvorfor du i det hele tatt trenger å samle inn så mye informasjon. Så samle bare inn og lagre det du virkelig trenger til forretningsformål. Du kan også gå et skritt videre og tilby kundene mulighet til å velge om de vil dele personopplysninger med deg eller ikke.
I stedet for alltid å prøve å få mest mulig ut av kundedata (mange selskaper abonnerer fremdeles kundene sine automatisk på utsendelser rett etter et kjøp), bør du, når virksomheten er ferdig med kommunikasjonen med dem, vurdere å slette all data etter at du har brukt den. Denne typen sikkerhetsinnstilling styrker kundetillit til dine personverninnsats.
Databeskyttelse angår alle. Kunderettede sikkerhetstiltak er altfor viktige til å overlates til noen få utvalgte. Når du har omfattende sikkerhetsrutiner og retningslinjer på plass, sørg for at alle i din organisasjon forstår dem og, ikke minst, følger dem. For eksempel bør du legge ekstra vekt på å sikre at dine ansatte forstår potensielle risikoer ved å bruke egne enheter eller nettverk utenfor kontoret.
Vi drives av å hjelpe kundene våre med å oppnå større innovasjon og kostnadseffektiv IT. Ønsker du også å dra nytte av det siste innen høyytelses skytjenester?
