Dataintegritet i skyen
Organisasjoner over hele verden fortsetter å lagre mer og mer av informasjonen sin i skyen. Dette er i utgangspunktet en god ting, ettersom skyen nesten alltid er sikrere enn et lokalt kontor eller et selskaps eget datasenter. Dessverre holder ikke alltid sikkerheten tritt med tilstrømmingen av data til skyen. For eksempel krypterer ikke alle data "at rest", har full oversikt over hvilke data som faktisk finnes i selskapets skytjenester, eller bruker Data Loss Prevention (DLP)-funksjoner for å beskytte mot ulike typer datatap. Mange selskaper tillater også tilgang til selskapsgodkjente skytjenester fra private enheter, noe som kan føre til at sensitiv informasjon lastes ned fra skyen til en ukontrollert privat enhet.
For alle som håndterer sensitiv informasjon – ikke minst personopplysninger og kundedata – er det svært viktig at alt er satt opp riktig, at man har riktige sikkerhetsrutiner på plass (som også følges) og full åpenhet rundt hvor og hvordan data lagres og beskyttes.
Dine skytjenester kan være i strid med GDPR-reglene
Regelverket for håndtering av personopplysninger har vært på plass i flere år, og til nå har de store amerikanske skyleverandørene basert seg på Privacy Shield-avtalen. Men siden EU-domstolen ugyldiggjorde Privacy Shield, er det ikke lenger tillatt å kun vise til denne avtalen for å dokumentere EU-kompatibilitet. I stedet er det nå opp til hvert enkelt selskap å vurdere om tilstrekkelig beskyttelse er på plass for å sikre etterlevelse av GDPR-kravene.
Datakryptering kan gi slik beskyttelse for organisasjonen, men det er viktig å huske at bevisbyrden i dette tilfellet ligger hos det enkelte selskap. Det er derfor det enkelte selskap som må kunne garantere at ingen ekstern organisasjon (for eksempel amerikanske NSA) har knekt dagens krypteringsnivåer. Dette er en garanti som er svært vanskelig, om ikke umulig, for individuelle organisasjoner å gi.
Alt i alt har vi en situasjon hvor det er økt risiko for at sensitiv informasjon havner på avveie – noe som til slutt også kan få økonomiske konsekvenser for selskapene som håndterer informasjonen. Nedenfor følger noen viktige punkter som alle som håndterer personopplysninger (slik som kundedata) må sikre og ta hensyn til.
5 tips for å beskytte sensitiv data
Å få innsikt i skyen og beskytte sensitiv data er ikke så vanskelig som det kan virke. Men selvfølgelig handler det om å vite hvor man skal begynne, og hva man skal fokusere på. Og det handler om tekniske løsninger, retningslinjer og prosedyrer, samt økt bevissthet blant alle ansatte.
- Velg en skytjeneste som garanterer regelverkskompatibilitet
Sørg for at du kjenner til de personvernlovene som gjelder i det landet der dataene dine skal lagres, slik som GDPR innen EU, og om det finnes andre lover som kan overstyre nasjonale lover, slik som US CLOUD Act. Husk at det er skyleverandørens hjemland som avgjør hvilke regelverk som gjelder for data og applikasjoner, ikke den geografiske plasseringen av datasenteret.
- Kryptering er et must
Når du går over til skyen, eller bytter skyleverandør, må du sikre at din plattform og skytjenester tilbyr mulighet for å kryptere data – både når data lagres i skyen og når data overføres eller deles med forretningspartnere. Hold deg også oppdatert på kryptering – krypteringsteknologier og prosesser utvikler seg raskt. Organisasjoner som ikke har gått gjennom og, der det er nødvendig, oppdatert sine krypteringsmetoder, er ofte sårbare for angrep.
- Kontroll, kontroll, kontroll.
Lag en strategi for enhetskontroll for å identifisere og kontrollere bruken av alle enheter som kan lagre eller laste ned data. Dette reduserer ikke bare riskoen for at skadelig programvare kommer inn i nettverket ditt – det kan også bidra til å forhindre at sensitiv informasjon lekker ut, enten ved et uhell eller med vilje. Bruk applikasjonskontroll for å spore og begrense unødvendig eller risikofylt programvare.
Vurder også å begrense tilgangen til kundeinformasjon – ikke alle i en organisasjon trenger å kunne se kunders personopplysninger. Jo færre som har et reelt behov for tilgang, desto færre muligheter finnes det for angripere til å finne et svakt punkt og stjele data.
Det kan også være lurt å skille nettverkene dine. Dagens nettkriminelle ønsker mer enn bare en brukers passord og noen filer – de vil ha tilgang til dine back-end databaser, ditt PoS-nettverk og ditt testnettverk. Vurder derfor å skille nettverkene med kraftige brannmurer som behandler dine interne avdelinger som potensielt fiendtlige mot hverandre, snarere enn å ha ett stort "internt" hinder mot den fryktede "utenforstående".
- Ikke glem de grunnleggende sikkerhetsfunksjonene
Det er en rekke ting du alltid bør ha i sikkerhetsverktøykassen din – enten det handler om å beskytte persondata i skyen eller andre steder. For eksempel, sørg for at du har effektiv endepunkt-, nettverks- og e-postbeskyttelse som filtrerer ut mesteparten av spam, malware og filer. Lær opp ansatte til å være mistenksomme til e-poster, spesielt de med vedlegg, og om å alltid rapportere uvanlige e-poster eller vedlegg til IT-avdelingen. Dessverre er det fortsatt altfor mange ansatte i selskaper som ved et uhell laster ned malware ved å klikke på lenker eller vedlegg i e-poster.
I tillegg bør du naturligvis ha strenge passordrutiner på plass, og ikke tillate kjælenavn, fødselsdatoer eller favorittlag som pålogging til skyplattformer hvor sensitiv data lagres. Om mulig bør du alltid implementere flerfaktorgodkjenning – faktisk snakker mange i dag om å kvitte seg med passord helt og heller bruke biometriske løsninger.
Den såkalte «shadow IT» oppstår når ansatte bruker utallige skytjenester uten din viten. Prøv å få oversikt over hvilke tjenester som faktisk brukes i organisasjonen og hvordan de brukes. Informer dine ansatte om hvor uheldig det er å flytte sensitiv bedriftsdata til en privat Dropbox eller lignende. Selv om dette kan være «mer praktisk» akkurat nå, kan det i stor grad øke risikoen for at informasjonen havner på avveie (spesielt dersom passordet til Dropbox-kontoen er svakt eller aldri har blitt endret).
Rask og kontinuerlig patching er også en veldig viktig del av sikkerhetsarbeidet ditt. Kjente, men oppdaterte sikkerhetshull er en av de hyppigste angrepsvektorene utnyttet av kriminelle. Dessverre blir patching ofte neglisjert og nedprioritert. Vurder derfor å anskaffe verktøy eller tjenester som håndterer patching for deg. Dette vil sikre at operativsystemet og applikasjonene dine alltid er oppdatert med de nyeste sikkerhetsfikser.
- Lagre kun det som er absolutt nødvendig
Å samle inn unødvendige kundedata er ikke bare et sløseri med energi og ressurser, men gir også et større mål for angripere å fokusere på. Det kan også lett få kunder til å bekymre seg og undre seg over hvorfor du trenger å samle inn så mye informasjon i utgangspunktet. Så samle kun inn og lagre det du faktisk trenger for forretningsformål. Du kan også gå et steg videre og tilby kundene muligheten til å velge om de vil dele personopplysninger med deg eller ikke.
I stedet for alltid å prøve å hente ut mest mulig av kundedata (mange selskaper melder fortsatt automatisk sine kunder på utsendelser umiddelbart etter en transaksjon), vurder å slette all data etter at du har brukt den når virksomheten din har avsluttet kommunikasjonen med dem. Denne typen sikkerhetstankegang styrker kundenes tillit til ditt personvernarbeid.
Avslutningsvis – gjør kundens personvern til alles prioritet
Personvern angår alle. Kundesikkerhet er altfor viktig til å overlates til noen få utvalgte. Når du har omfattende sikkerhetsrutiner og -retningslinjer på plass, sørg for at alle i organisasjonen forstår dem og, fremfor alt, følger dem. For eksempel bør du legge ekstra vekt på å sikre at dine ansatte forstår de potensielle risikoene ved å bruke egne enheter eller nettverk utenfor kontoret.
