Organisationer runt om i världen fortsätter att lagra mer och mer av sin information i molnet. Detta är i grunden en bra sak, eftersom molnet nästan alltid är mer säkert än ett lokalt kontor eller ett företags eget datacenter. Tyvärr håller säkerheten inte alltid jämna steg med inflödet av data till molnet. Till exempel krypterar inte alla data i vila, har full insyn i vilken data som faktiskt finns i företagets molnapplikationer eller använder Dataförlustförebyggande (DLP)-funktioner för att skydda mot olika typer av dataförlust. Många företag tillåter också åtkomst till företagsgodkända molntjänster från personliga enheter, vilket kan leda till att känslig information laddas ner från molnet till en okontrollerad personlig enhet.
För alla som hanterar känslig information – inte minst personuppgifter och kunddata – är det oerhört viktigt att allt är korrekt uppsatt, att man har rätt säkerhetsrutiner på plats (som också följs) och full transparens kring var och hur data lagras och skyddas.
Det regelverk som styr hantering av personuppgifter har funnits i flera år, och fram till nu har de stora amerikanska cloud-tjänstleverantörerna förlitat sig på Privacy Shield-avtalet. Sedan Europeiska domstolen ogiltigförklarade Privacy Shield är det dock inte längre tillåtet att enbart hänvisa till detta avtal för att visa EU-kompatibilitet. Istället är det nu upp till varje enskilt företag att bedöma om tillräckligt skydd finns för att uppfylla kraven i GDPR.
Kryptering av data kan ge ett sådant skydd för organisationen, men det är viktigt att ha i åtanke att bevisbördan i detta fall ligger på det enskilda företaget. Det är alltså företaget som måste kunna garantera att ingen extern organisation (som amerikanska NSA) har knäckt de nuvarande krypteringsnivåerna. Denna garanti är mycket svår, om inte omöjlig, för enskilda organisationer att lämna.
Allt som allt har vi en situation där risken för att känslig data hamnar i fel händer ökar – något som i slutändan också kan få ekonomiska konsekvenser för de företag som hanterar datan.
Nedan följer några viktiga saker som alla som hanterar personuppgifter (såsom kunddata) måste säkerställa och överväga.
Att få insikt i molnet och skydda känslig data är inte så svårt som det kan verka. Men det handlar förstås om att veta var man ska börja och vad man ska fokusera på. Och det handlar om tekniska lösningar, policys och rutiner, samt att öka medvetenheten bland alla medarbetare.
Se till att du känner till de dataskyddslagar som gäller i det land där din data kommer att lagras, såsom GDPR inom EU, och om det finns andra lagar som kan gå före nationell lagstiftning, som US CLOUD Act. Glöm inte att det är cloud-tjänsteleverantörens hemvistland som avgör vilka regler som gäller för data och applikationer, inte den geografiska platsen för datacentret.
När du går över till molnet, eller byter moln, behöver du säkerställa att din plattform och molnlösningar erbjuder möjligheten att kryptera data – både när data lagras i molnet och när data överförs eller delas med affärspartner. Håll dig också uppdaterad om kryptering – krypteringsteknologier och processer utvecklas snabbt. Organisationer som inte har granskat och vid behov uppdaterat sina krypteringsmetoder är ofta sårbara för attacker.
Skapa en enhetskontrollstrategi för att identifiera och kontrollera användningen av alla enheter som kan lagra eller ladda ner data. Detta minskar inte bara risken för att skadliga saker kommer in i ditt nätverk – det kan också hjälpa till att förhindra att känslig information läcker ut, antingen av misstag eller avsiktligt. Använd applikationskontroll för att följa och begränsa onödig eller riskfylld mjukvara.
Tänk också på att begränsa åtkomst till kundinformation – alla i en organisation behöver inte kunna se kunders personliga information. Ju färre personer som har ett genuint behov av åtkomst, desto färre möjligheter finns det för angripare att hitta en svag punkt och stjäla data.
Det kan också vara en bra idé att separera dina nätverk. Dagens cyberbrottslingar vill ha mer än bara en användares lösenord och några filer – de vill ha tillgång till dina backend-databaser, ditt PoS-nätverk och ditt testnätverk. Överväg därför att separera dina nätverk med kraftfulla brandväggar som behandlar dina interna avdelningar som potentiellt fientliga mot varandra, istället för att ha ett enda stort ”internt” skydd mot det fruktade ”utifrån”.
Det finns en rad saker du alltid bör ha i din säkerhetsverktygslåda – oavsett om vi pratar om att skydda personuppgifter i molnet eller på annan plats. Till exempel, se till att du har effektivt endpoint-, nätverks- och e-postskydd som filtrerar bort det mesta av spam, malware och filer. Lär dina medarbetare att vara misstänksamma mot e-post, särskilt de med bilagor, och att alltid rapportera ovanliga e-postmeddelanden eller bilagor till IT-avdelningen. Tyvärr finns det fortfarande alldeles för många företagsanställda som av misstag laddar ner malware genom att klicka på länkar eller bilagor i e-post.
Dessutom bör du självklart ha rigorösa lösenordspolicys på plats, och inte tillåta barnnamn, födelsedagar eller favoritlag att användas som inloggningar till cloud-plattformar där känslig data lagras. Om tillgängligt bör du alltid implementera multifaktorsautentisering – i själva verket pratar många numera om att helt avskaffa lösenord och istället använda biometriska lösningar.
Så kallad ”skuggit” är en situation som uppstår när medarbetare använder otaliga cloud-tjänster utan din vetskap. Försök få en överblick över vilka tjänster som faktiskt används i din organisation och hur de används. Informera dina medarbetare om hur olämpligt det är att flytta känslig företagsdata till ett privat Dropbox eller liknande. Även om det är ”bekvämare” just nu kan det kraftigt öka risken att informationen hamnar i fel händer (särskilt om lösenordet till Dropbox-kontot är svagt eller aldrig har ändrats).
Snabb och kontinuerlig patchning är ytterligare en mycket viktig del av ditt säkerhetsarbete. Kända men ospärrade säkerhetshål är en av de vanligaste attackvektorerna som utnyttjas av brottslingar. Tyvärr prioriteras patchning ofta lågt och försummas. Överväg därför att köpa in verktyg eller tjänster som hanterar patchning åt dig. Detta säkerställer att ditt operativsystem och applikationer alltid är uppdaterade med de senaste säkerhetsfixarna.
Att samla in onödig kunddata är inte bara en slöseri med energi och resurser, utan ger också ett större mål för angripare att fokusera på. Det kan också lätt göra kunder oroliga och undra varför du behöver samla in så mycket information från början. Så samla och lagra bara det du verkligen behöver för affärsändamål. Du kan också ta det ett steg längre och erbjuda kunder möjlighet att välja om de vill dela personlig information med dig eller inte.
I stället för att alltid försöka få ut så mycket som möjligt av kunddata (många företag prenumererar fortfarande automatiskt sina kunder på utskick direkt efter en transaktion) bör du, när ditt företag är färdigt med kommunikationen med dem, överväga att förstöra all data efter att du använt den. Denna typ av säkerhetstänk stärker kundernas förtroende för dina integritetsinsatser.
Dataskydd berör alla. Kundsäkerhet är alldeles för viktigt för att hanteras av ett fåtal utvalda. När du har omfattande säkerhetsrutiner och policyer på plats ska du se till att alla i din organisation förstår dem och framför allt följer dem. Till exempel bör du lägga extra vikt vid att säkerställa att dina medarbetare förstår de potentiella riskerna med att använda egna enheter eller nätverk utanför kontoret.
Vi drivs av att hjälpa våra kunder att uppnå större innovation och kostnadseffektiv IT. Vill du också ta del av det senaste inom högpresterande molntjänster?
