Insight

Beskyttelse af følsomme data

CIS-kontrollerne og følsomme data

CIS version 7.1 har følsomme data som kontrol nr. 13, der er forbundet med kontrol nr. 14, der drejer sig om segmentering af netværket efter typer af data. Blandt da vigtigste tiltag kan nævnes:

Implementeringsgruppe 1 (noget, alle skal gøre)

  • Lav en inventarliste over følsomme data, herunder hvor de er gemt (fx filserver, cloud, e-mail, database mv.), og hvordan de bliver behandlet (hvem, der har og kan få adgang til data) og transmitteret (sendt) over netværket.
    Dette punkt kræver et værktøj, der kan scanne netværket for følsomme data, så organisationen altid ved, hvor de er, hvor de må være, og hvor uautoriseret håndtering skal mitigeres. Det kunne fx være en løsning fra ForcePoint.
  • Fjern alle følsomme data, som ikke regelmæssigt tilgås fra netværket, og isoler og beskyt dem i særlig grad.
  • Sørg for udstrakt brug af kryptering af følsomme data, så de ikke kan bruges, hvis de mistes.

Implementeringsgruppe 2 (noget, mange skal gøre)

  • Begræns og kontroller adgangen til cloudtjenester, hvor der kan gemmes følsomme data, ved at indføre autoriserede cloudtjenester, som gennemtvinges i organisationen.
  • Kontroller brugen af USB-nøgler, så ingen eller kun specifikke tilladte USB-nøgler kan bruges (typisk nogle, der er udleveret af IT).

Implementeringsgruppe 3 (noget, få skal gøre)

  • Sørg for, at USB-medier altid er krypteret.
  • Sørge for, at der kun kan skrives til USB-mediet, hvis der er behov for det.
  • Overvåg alle data, der transmitteres over firewallen til internettet, for uautoriseret kryptering.
  • Sørg for at bruge en DLP-mekanisme (Data Loss Prevention), som sikrer mod autoriseret tab af følsomme data.

I den nye version af CIS-kontrollerne (version 8, som er frigivet d. 22. maj 2021) er databeskyttelse flyttet fra nr. 13 til nr. 3, hvilket indikerer vigtigheden af databeskyttelse. Her er der nu 14 subkontroller med seks i implementeringsgruppe 1, seks i implementeringsgruppe 2 og to i implementeringsgruppe 3. De vigtigste tiltag (implementeringsgruppe 3) er nu som følger:

  • Etabler og vedligehold en proces til håndtering af følsomme data
  • Etabler og vedligehold et inventory over følsomme data
  • Konfigurer adgange til følsomme data (Access Control Lists – ACL)
  • Konfigurer dataopbevaring med et minimum og et maksimum af dataopbevaring
  • Sørg for at destruere følsomme data på sikker vis
  • Beskyt følsomme data på klienter med kryptering.

Det er vores erfaring, at følsomme data ikke altid er beskyttet i tilstrækkeligt omfang, og du kan få en idé om, hvorvidt dette også gælder i din virksomhed, ved at vurdere svarene på følgende spørgsmål:

  1. Har virksomheden en kategorisering, så følsomme data kan/er markeret som følsomme (dataklassifikationsmodel)?
  2. Ved du, hvor alle følsomme data er, og hvem der ejer dem/er ansvarlig for dem?
  3. Opdager du, når følsomme data gemmes uautoriseret – fx på en USB-nøgle, cloudtjeneste, desktoppen eller i e-mail?
  4. Er der en effektiv metode til at sikre kontrol med adgang til følsomme data, og følger denne adgang en medarbejder eller en rolle?
  5. Er alle følsomme data beskyttet med kryptering, når de er i hvile, og når de transmitteres?
  6. I hvilken grad kan du opdage tyveri eller forvanskning (CIA-modellen) af virksomhedens følsomme data vha. Data Loss Prevention (DLP)?

Scor svarene på en skala fra 0-2 (slet ikke, delvist og helt dækkende), og regn den samlede procent ud (på skala fra 0 til 12). Hvad er din virksomheds databeskyttelsesprocent?

Er du nysgerrig? Så tilmeld dig vores webinar her, der afholdes den 17. juni kl. 10-11.30.

Fandt du dette nyttigt?