Informationssikkerhed er et af de vigtigste begreber i GDPR - hvis en virksomhed ikke har en tilstrækkelig informationssikkerhed, betyder det, at de ikke håndterer og behandler informationer korrekt. Dette gælder persondata såvel som virksomhedsoplysninger. Derfor er det vigtigt at kende informationssikkerheden, og hvordan man har den mest optimale informationssikkerhed. Snart vil virksomheder blive sammenlignet på hvor god sikkerheden er omkring deres data - der vil du helst ligge i top, ikke?
Informationssikkerheden du skal kende
Når du behandler persondata, skal du både være opmærksom på persondataforordningen og din virksomheds informationssikkerhed.
Persondataforordningen handler om, at du skal vide hvilken sikkerhed, der er omkring de personoplysninger, som I i virksomheden behandler. I bund og grund handler det om, at virksomheden og medarbejderne skal blive bedre til at passe på persondata.
Med persondataforordningen kommer forventningen om, at vi har styr på vores informationssikkerhed. Dette går ud på, at den information, som en virksomhed sidder inde med, altså er sikret fra uvedkommende.
Nogle af de ting, som informationssikkerhed skal forhindre er:
- Uautoriseret adgang til data
- Misbrug af data
- Offentliggørelse af data
- Sletning af data
- Korruption af data
En anden ting man skal huske er, at personoplysninger kan være i et elektronisk format, såvel som i et fysisk format. Det er altså både i software på computeren, man opbevarer personoplysninger, og i papirform - så informationssikkerheden gælder computeren og de fysiske rammer oplysningerne bliver gemt i.
CIA = optimal informationssikkerhed
Informationssikkerhed er bygget op, så det skal beskytte fortroligheden, integriteten og tilgængeligheden (jf. confidentiality, integrity and availability = CIA) af computersystemer såvel som fysiske systemer. CIA skal forhindre, at ondsindede aktører får adgang til de informationer som i besidder.
CIA skal hjælpe med at sætte fokus på optimal informationssikkerhed. Derfor er nogle af de best practices inden for informationssikkerhed at benytte:
- Informationssikkerhedspolitikker
- Stærke kodeord
- Flerfaktorgodkendelse
- Anti-virus programmer og firewalls
- Kryptografi
- Skærpet sikkerhed
Man opnår bedst informationssikkerhed ved at have struktureret og organiseret risikostyring. Risikostyring er i korte træk et overblik over hvilke risici man kan finde i virksomhedens systemer.
Nogle af de ting, man kan opnå ved risikostyring, er:
- Identificere informationer, og hvilke relevante trusler, sårbarheder og indflydelse uvedkommende kan have.
- Evaluere risici.
- Afgøre hvordan man skal håndtere risici, ved f.eks. at formidle og dele de forskellige trusselsbilleder mellem medarbejdere, så man ved hvordan trusselsbilledet ser ud.
- Informationssikkerheden skal formidle, vælge, designe og implementere sikkerhedskontroller.
- Monitorere aktivitet og håndtere problemer og forbedringer.
Hvem er ansvarlig for informationssikkerheden?
Alle medarbejdere i en virksomhed er ansvarlige for, at informationer og personoplysninger bliver opbevaret og håndteret korrekt. Dog er der mange forskellige faktorer, der kan påvirke informationssikkerheden.
Man kan komme ud for strømsvigt, der kompromitterer sikkerheden af de digitale personoplysninger; man kan komme ud for at serverne ikke svarer; der kan foregå tyveri og indbrud i virksomheden eller der kan være huller i diverse endpoints i systemerne.
Selvom informationssikkerhed dækker over fysisk og digitale informationer, så er der en eksponentiel stigning af digitale informationer, der bliver lagret i virksomhedens databaser. Derfor er cybersikkerheden endnu en vigtig og afgørende implementering i god informationssikkerhed.
Som man ved med cybersikkerhed, så er det medarbejderne, der er det vigtigste forsvar mod hackere og IT-kriminelle. Det er de menneskelige fejl, der gør, at informationer bliver korrumperet eller sat på spil.
Fordi informationssikkerheden dækker over den digitale sikkerhed, er det altså de IT-ansvarlige, der sidder med det ekstra ansvar for en virksomheds oplysninger. Ved at sikre netværk, systemer og software er en virksomhed godt på vej mod en forhøjet informationssikkerhed.
Awareness-træning er vejen frem
Med et øget fokus på digital sikkerhed, kommer der et endnu større fokus på den enkelte medarbejder, da det er via medarbejderne, at hackerne snyder sig ind i systemer og installerer malware på computerne.
Når en hacker har installeret malware, kan de bl.a.:
- Overvåge enheden.
- Tilgå dokumenter.
- Bruge filerne som gidsel til ransomware-angreb.
- Sælge filerne på the dark web.
- Dele filerne i datalækager.
Derfor er det essentielt at alle medarbejdere er opmærksom på de risici, der er ved mangelfuld informationssikkerhed - god cybersikkerhed er god informationssikkerhed.
Førhen hang de to begreber ikke meget sammen, men fordi alt ligger digitalt nu, er de blevet tæt forbundet.
Risici og trusler ved manglende informationssikkerhed
Der findes forskellige former for trusler og risici ved at have en ringe informationssikkerhed - både digitalt og fysisk.
Den første og største trussel, man kan finde ved manglende informationssikkerhed, er software-angreb. Dette inkluderer virus, malware, orme, ransomware og hvilken som helst ondsindet kodning, der kompromitterer filer og dokumenter.
Når en IT-kriminel kommer ind i en virksomheds software og netværk, kan de gøre umådelig skade. De kan kryptere filer så medarbejderne ikke kan læse eller se dokumenterne, eller hackerne deler dokumenter uden samtykke fra de mennesker oplysningerne vedrører.
Truslen om, at fysiske dokumenter og oplysninger kan blive stjålet, er der også. Dette gælder både papirform, men mange tyve vil stjæle enhederne, som dokumenterne ligger på - i dette tilfælde vil virksomheden ikke kun miste informationer og dokumenter, men også computere, tablets og telefoner. Den digitale sikkerhed gælder nemlig alle enheder man bruger i forbindelse med sit arbejde.
Til sidst kan man risikere at få høje bøder for ikke at overholde GDPR - hvis man mister persondata, når uvedkommende kommer i besiddelse af dataen, eller hvis det bliver opbevaret på ukorrekt vis, kan man altså ende med høje GDPR-bøder.
Hvordan reagerer man bedst på truslen?
Når man har identificeret en trussel, i forbindelse med informationssikkerheden, kan man gøre følgende:
- Reducere risikoen ved at implementere sikkerhedsforanstaltninger og forberede ageren på truslen. - Når man er forberedt på en potentiel trussel, kan man reagere hurtigt og effektivt.
- Kontakt virksomhedens dataansvarlige og IT-afdeling hvis det er en IT-hændelse - de kan reagere hurtigt og muligt gendanne de tabte dokumenter.
Med GDPR er der kommet et krav om, at alle virksomheder i EU underlægger GDPR-loven - dette involverer altså øget informationssikkerhed og korrekt behandling af persondata.
GDPR vil uundgåeligt påvirke din virksomheds omdømme. Snart vil virksomheder blive sammenlignet på deres informationssikkerhed, og der vil kunder og samarbejdspartnere vælge den virksomhed med den bedste informationssikkerhed. Ingen har lyst til at arbejde med en virksomhed, der har en dårlig informationssikkerhed.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler