Dataintegritet i molnet
Organisationer runt om i världen fortsätter att lagra mer och mer av sin information i molnet. Det är egentligen en bra sak, eftersom molnet nästan alltid är säkrare än ett lokalt kontor eller ett företags eget datacenter. Tyvärr håller säkerheten inte alltid jämna steg med inflödet av data till molnet. Till exempel krypterar inte alla data "i vila", har full insyn i vilken data som faktiskt finns i företagets molnapplikationer, eller använder Dataförlustförebyggande (DLP)-funktioner för att skydda mot olika typer av dataförlust. Många företag tillåter också åtkomst till företagets godkända molntjänster från personliga enheter, vilket kan leda till att känslig information laddas ner från molnet till en okontrollerad personlig enhet.
För alla som hanterar känslig information – inte minst personuppgifter och kunddata – är det oerhört viktigt att allt är rätt uppsatt, att rätt säkerhetsrutiner finns på plats (och också följs) samt full transparens gällande var och hur data lagras och skyddas.
Dina cloud-tjänster kan bryta mot GDPR-regler
Reglerna som styr hanteringen av personuppgifter har funnits i flera år, och fram till nu har de stora amerikanska cloud-tjänsteleverantörerna förlitat sig på Privacy Shield-avtalet. Men sedan Europeiska unionens domstol ogiltigförklarade Privacy Shield är det inte längre tillåtet att enbart hänvisa till detta avtal för att visa EU-kompatibilitet. Istället är det nu upp till varje enskilt företag att bedöma om tillräckligt skydd finns för att säkerställa efterlevnad av kraven i GDPR.
Datakryptering kan ge ett sådant skydd för organisationen, men det är viktigt att ha i åtanke att bevisbördan ligger på det enskilda företaget i detta fall. Det är därför det enskilda företaget som måste kunna garantera att ingen extern organisation (såsom amerikanska NSA) har knäckt de aktuella krypteringsnivåerna. Detta är en garanti som är extremt svår, om inte omöjlig, för enskilda organisationer att ge.
Sammanfattningsvis har vi en situation där risken ökar för att känslig information hamnar i fel händer – något som i slutändan också kan få ekonomiska konsekvenser för de företag som hanterar informationen. Nedan följer några viktiga saker som alla som hanterar personuppgifter (såsom kunddata) måste säkerställa och ha i åtanke.
5 tips om hur du skyddar känslig data
Att få insyn i molnet och skydda känslig data är inte så svårt som det kan verka. Men naturligtvis handlar det om att veta var man ska börja och vad man ska fokusera på. Och det handlar om tekniska lösningar, policys och rutiner, samt att höja medvetenheten bland alla anställda.
- Välj en cloud-tjänst som garanterar regelverksuppfyllelse
Säkerställ att du är bekant med de dataskyddslagar som gäller i det land där din data kommer att lagras, som GDPR inom EU, och om det finns andra lagar som kan åsidosätta nationella lagar, såsom US CLOUD Act. Glöm inte att det är molntjänstleverantörens hemvistland som avgör vilka regler som gäller för data och applikationer, inte den geografiska platsen för datacentret.
- Kryptering är ett måste
När du går över till molnet, eller byter moln, behöver du se till att din plattform och dina molnlösningar erbjuder möjligheten att kryptera data – både när data lagras i molnet och när data överförs eller delas med affärspartners. Håll dig också uppdaterad om kryptering – krypteringsteknologier och processer utvecklas snabbt. Organisationer som inte har granskat och, vid behov, uppdaterat sina krypteringsmetoder är ofta sårbara för attacker.
- Kontroll, kontroll, kontroll.
Skapa en strategi för enhetskontroll för att identifiera och styra användningen av alla enheter som kan lagra eller ladda ner data. Detta minskar inte bara risken för att dåliga saker kommer in i ditt nätverk – det kan också hjälpa till att förhindra att känslig information läcker ut, antingen av misstag eller med avsikt. Använd applikationskontroll för att spåra och begränsa onödig eller riskfylld programvara.
Överväg också att begränsa åtkomst till kundinformation – inte alla i en organisation behöver kunna se kunders personliga uppgifter. Ju färre som har ett verkligt behov av åtkomst, desto färre möjligheter finns för angripare att hitta en svag punkt och stjäla data.
Det kan också vara en bra idé att separera dina nätverk. Dagens cyberbrottslingar vill ha mer än bara en användares lösenord och några filer – de vill ha tillgång till dina back-end-databaser, ditt PoS-nätverk och ditt testnätverk. Överväg därför att separera dina nätverk med kraftfulla brandväggar som behandlar dina interna avdelningar som potentiellt fientliga mot varandra, istället för att ha en enda stor "intern" barriär mot det fruktade "utanför".
- Glöm inte grundläggande säkerhetsfunktioner
Det finns ett antal saker du alltid bör ha i din säkerhetsarsenal – oavsett om vi pratar om att skydda persondata i molnet eller på annat håll. Se till exempel till att du har effektivt skydd mot slutpunkter, nätverk och e-post som filtrerar bort de flesta spam, skadlig kod och filer. Lär dina anställda att vara misstänksamma mot e-post, särskilt sådana med bilagor, och att alltid rapportera ovanliga e-post eller bilagor till IT-avdelningen. Tyvärr finns det fortfarande alldeles för många företagsanställda som av misstag laddar ner skadlig kod genom att klicka på länkar eller bilagor i e-post.
Dessutom bör du naturligtvis ha rigorösa lösenordspolicys på plats och inte tillåta husdjursnamn, födelsedagar eller favoritlag att användas som inloggningar för molnplattformar där känslig data lagras. Om det finns tillgängligt ska du alltid implementera multifaktorautentisering – faktum är att många nu pratar om att helt göra sig av med lösenord och istället använda biometriska lösningar.
Så kallad 'shadow IT' är en situation som uppstår när anställda använder otaliga molntjänster utan din vetskap. Försök få en översikt över vilka tjänster som faktiskt används i din organisation och hur de används. Informera dina anställda om hur olämpligt det är att flytta känslig företagsdata till en privat Dropbox eller liknande. Även om det är 'bekvämare' just nu kan det kraftigt öka risken att informationen hamnar i fel händer (särskilt om lösenordet till Dropbox-kontot är svagt eller aldrig har ändrats).
Snabb och kontinuerlig patchning är en annan mycket viktig del av ditt säkerhetsarbete. Kända men opatchade säkerhetshål är en av de vanligaste attackvektorerna som utnyttjas av brottslingar. Tyvärr försummas patchning ofta och ges låg prioritet. Överväg därför att köpa verktyg eller tjänster som hanterar patchning åt dig. Detta säkerställer att ditt operativsystem och dina applikationer alltid är uppdaterade med de senaste säkerhetsfixarna.
- Spara endast det som är absolut nödvändigt
Att samla in onödig kunddata är inte bara en slöseri med energi och resurser, utan ger också ett större mål för angripare att fokusera på. Det kan också lätt orsaka oro hos kunder som undrar varför du behöver samla in så mycket information från början. Så samla bara in och lagra det du verkligen behöver för affärsändamål. Du kan också ta det ett steg längre och erbjuda kunder möjlighet att välja om de vill dela personlig information med dig eller inte.
Istället för att alltid försöka få ut så mycket som möjligt av kunddata (många företag prenumererar fortfarande automatiskt sina kunder på utskick direkt efter en transaktion), överväg att när ditt företag har slutfört kommunikationen med dem förstöra all data efter användning. Denna typ av säkerhetstänk stärker kundernas förtroende för dina integritetsinsatser.
Avslutningsvis – gör kundintegritet till allas prioritet
Dataskydd berör alla. Kundsäkerhet är alldeles för viktigt för att hanteras av ett fåtal utvalda. När du har omfattande säkerhetsrutiner och policys på plats, se till att alla i din organisation förstår dem och framför allt följer dem. Till exempel bör du lägga extra vikt vid att säkerställa att dina anställda förstår de potentiella riskerna med att använda egna enheter eller nätverk utanför kontoret.
