Insight

Insidertrusler og følsomme data

En pragmatisk tilgang til følsomme data, som vil fungere i mange mindre og mellemstore virksomheder, kan være følgende (husk, at nedenstående er en proces og ikke et projekt, hvilket vil sige, at disse punkter skal gentages med jævne mellemrum):

  1. Udarbejd en fortegnelse over de følsomme data ved først at definere, hvad følsomme data er, og derefter hvor de er og må være. Hvilke systemer ligger de i, og hvordan er disse systemer forankret i it-infrastrukturen/cloud.
  2. Styr adgangen til de følsomme data via adgangskontrol (ACL), som opdateres og revideres med jævne mellemrum. I den forbindelse er det vigtigt, at adgang til data følger en rolle og ikke den enkelte medarbejder.
  3. Sikr viden om følsomme data via awarenes-træningen, og gør det målbart.
  4. Pas på de følsomme data ved at fjerne de data, der ikke bruges regelmæssigt, ved at kryptere data, når de er i hvile, og når de transmitteres, og ved at styre, hvordan og hvornår følsomme data destrueres.
  5. Opdag misbrug ved at indføre DLP-mekanismer (Data Loss Prevention), som sikrer, at virksomheden opdager uautoriseret adgang, sletning eller forvanskning. Her kan fx ForcePoint DLP hjælpe dig.

Et særligt vanskeligt punkt, men ofte et godt udgangspunkt for arbejdet med følsomme data, er at håndtere ustrukturerede følsomme data. Hermed menes data, som ikke ligger i systemer, men er gemt uautoriseret på fx desktops i et regneark, i en database eller på en cloudservice/fildelingstjeneste som OneDrive eller DropBox eller gratis og anonyme tjenester som fx WeTransfer, SendGB eller Filedropper (!).

Brug en ”crawler”, som kan søge alle virksomhedens data igennem og finde ustrukturerede følsomme data, som skal fjernes og beskyttes. Her kan ManageEngine Data Security Plus hjælpe dig med at komme i gang.

Tab eller manglende beskyttelse af følsomme data kan være ledsaget af store omkostninger i forbindelse med databeskyttelsesforordningen og andre regulativer:

  • NetFlix-konto 6-18 kroner
  • PayPal-konto 10 kroner
  • CPR-nummer 6 kroner
  • Kørekort 120 kroner
  • Kreditkort 48 – 132 kroner
  • Komplette sundhedsdata 6200 kroner
  • Bankkonto 600-6.000 kroner. 

Bøder vedr. databeskyttelsesforordningen kan også være særdeles omkostningstunge og gives i forhold til virksomheden og forseelsens størrelse, fx:

  • Google i Frankrig: 375 mio. kr. (manglende juridisk datagrundlag)
  • H&M i Tyskland: 264 mio. kr. (manglende juridisk datagrundlag)
  • British Airways: 165 mio. kr. (manglende teknisk databeskyttelse)
  • Marriott: 163 mio. kr. (manglende teknisk databeskyttelse)

og i Danmark:

  • Taxa 4x35: 1,2 mio. kr. (manglende compliance)
  • Arp Hansen Hotel Group: 1,1 mio. kr. (manglende compliance)
  • Plus flere kommuner for manglende teknisk beskyttelse af persondata.

Når du skal arbejde med følsomme data, er en grundlæggende metodik ofte CIA-modellen, som har at gøre med Confidentiality, Integrity og Availability. Disse emner indgår også som centrale dele i risikovurderingen ved databeskyttelse efter databeskyttelsesforordningen. Du kan bruge ENISA’s vejledning til at beskytte følsomme data for små og mellemstore virksomheder og CIS’ Risk Assessment Method (RAM) og sidst, men ikke mindst, Deloittes Behandlingssikkerhedsprofil.

Er du nysgerrig? Så tilmeld dig vores webinar her, der afholdes den 17. juni kl. 10-11.30.

Fandt du dette nyttigt?