Lesetid: 5 Minutter
Hvor sikre er bedriftens data utenfor kontoret? EUs personvernforordning (GDPR) trer i kraft denne måneden og påvirker enhver organisasjon over hele verden som samler inn eller behandler personopplysninger om EU-innbyggere. Her gir GDPR-eksperter råd om hvordan dere beskytter bedriften
Hvis bedriften deres avhenger av eksterne arbeidstakere, vet dere allerede hvor viktig det er å sikre at data ikke misbrukes eller havner på avveie. Med personvernforordningen (GDPR) som trer i kraft i denne måneden (mai 2018), er det imidlertid også viktig å sikre at dere oppfyller regelverkets strenge krav – ellers kan dere stå overfor betydelige økonomiske og omdømmemessige skader. Så hvordan kan dere beskytte data i det daglige samtidig som dere beholder fordelene med en virkelig fleksibel arbeidsstyrke?
1. Lær opp de ansatte
Med språket i GDPR er bedriften «informasjonseier» og deres eksterne ansatte «informasjonsbehandlere». «Dette betyr at de har en like stor rolle når det gjelder å holde bedriftens data sikre, som dere har», sier John Slaughter, daglig leder i Data Comply(1). «Overholdelse av GDPR bør bli en prioritet i det daglige arbeidet, særlig for alle som jobber eksternt», legger han til. «Klare retningslinjer for bruk av sikre nettverk er nøkkelen, så identifiser og kommuniser hvilke opplysninger som er begrenset til et sikkert miljø.» Han anbefaler bedrifter å lære opp de ansatte og gjennomgå kunnskapen jevnlig, for å sikre at de forstår spørsmålsstillingene, og at prosedyrene er oppdatert.
Bedrifter bør også vurdere å minne de ansatte på at offentlig Wi-Fi på ingen måte er sikkert. «En person bør ikke bruke banktjenester via et offentlig nettverk, så de bør heller ikke få tilgang til konfidensielle arbeidsdokumenter», sier Andy Kays, CTO hos trusseldeteksjons- og reaksjonsspesialisten Redscan(2). «Oppfordre arbeidstakerne til bare å bruke sikrede Wi-Fi-tilgangspunkter eller å koble seg til selskapets nettverk via en sikker VPN-tilkobling. Det er også fint å koble til Internett via 4G, som gir de ansatte en god og sikker forbindelse til tjenesteleverandøren.»
2. Beskytt alt med passord
Gjennom GDPR vil det sannsynligvis være mulig å ilegge bøter på opptil fire prosent av selskapets globale omsetning ved betydelige databrudd. Det eneste unntaket er dersom man kan vise at dataene var riktig kryptert.
«Det finnes ikke noe slikt som ufeilbarlig sikkerhet – selv Nasa har blitt hacket», sier rumenske Andrei Hanganu, forfatter av EU GDPR Documentation Toolkit(3). «Men sterke passord og tilstrekkelige krypteringsløsninger vil bidra til å holde deres personopplysninger sikre fra uautoriserte brukere.»
De fleste bedrifter har programvare på plass for å kryptere stasjoner og filer som er lagret på dem, men dette gjelder ikke uten videre for eksterne enheter. Hanganu anbefaler å rulle ut nødvendig krypteringsprogramvare for bærbare datamaskiner, mobiler og stasjonære PC-er – da trenger brukeren bare en PIN-kode eller et passord for å få tilgang til og dekryptere dataene til lesbar form. Alle arbeidstakere bør ha som vane å passordbeskytte alt.
3. Hold systemene rene
Virusangrep og skadelig programvare kan samle og spore data, noe som betyr at også dette faller under GDPR-standarden. «Siden det er så vanskelig å beskytte seg mot skadelig programvare, tenker de fleste bedrifter at det ikke er et spørsmål om hvis, men snarere et spørsmål om når man blir rammet», sier Nigel Tozer, direktør for EMEA Solutions Marketing hos Commvault(4). Han anbefaler å sørge for at de ansattes enheter er beskyttet av de nyeste operativsystemene og oppdatert antivirusprogramvare.
«Mennesker er alltid det svakeste leddet i organisasjonens sikkerhetsarbeid, og det kan ha ødeleggende konsekvenser hvis en enkelt ansatt klikker på en ondsinnet lenke eller ikke oppdaterer systemet sitt», legger Andy Kays til. «Det er derfor viktig å øke bevisstheten om cybersikkerhetsrisiko gjennom regelmessig ansattopplæring, spesielt for eksterne arbeidstakere som kan få tilgang til bedriftens data og tjenester fra en rekke ulike enheter, steder og nettverk.»
Bedrifter kan også vurdere å gjennomføre regelmessige økter med IT-avdelingen, der arbeidstakerne tar med sine mobile enheter for regelmessige sikkerhetskontroller, oppdateringer og oppgraderinger.
Har organisasjonen deres en strategi for å sikre data etter at de forlater kontoret?
4. Husk visuell sikkerhet
«I en teknologisk avansert verden er det lett å glemme at det fortsatt finnes lavteknologiske måter som folk kan stjele bedriftsdata på», sier Orlagh Kelly, advokat og CEO i Briefed GDPR Training and Consultancy Specialists(5).
I et eksperiment utført av 3M, var en undercover hacker i stand til å få tak i sensitive opplysninger bare ved såkalt «skuldersurfing» (se på en persons skjerm) i 88 prosent av forsøkene(6).
«Oppfordre de ansatte til å være bevisst på hvem som kan se over skulderen mens de jobber utenfor kontoret», sier Kelly. Dere kan vurdere å levere ut filtre som festes til skjermen og blokkerer innsyn fra siden.
5. Forstå skyteknologiens begrensninger
Ifølge en studie fra Ponemon Institute er 44 prosent av bedriftsdata som er lagret i skymiljøer, verken administrert eller kontrollert av IT-avdelingen. Som et resultat av dette viser studien også at bruken av skytjenester kan tredoble sannsynligheten for databrudd i millionklassen(7).
«Å velge riktig skyleverandør er svært viktig», sier Nigel Tozer. «Dere må vite nøyaktig hvordan dere skal håndtere databrudd, da begge sider har bestemte ansvar og forpliktelser. Hvis alle dataene forblir i EU, skal skyleverandøren sørge for at de oppbevarer dataene på en måte som er i samsvar med deres juridiske forpliktelser. Dere må også forsikre dere om at data som forlater EU, er tilstrekkelig beskyttet med hensyn til GDPR.»
Tozer påpeker at skyleverandøren under GDPR er databehandler, mens virksomheten er behandlingsansvarlig. «Altså er det deres ansvar å sjekke leverandørens bakgrunn og sørge for at den gir tilstrekkelige garantier for å implementere riktige tekniske og organisatoriske garantier som oppfyller den nye EU-forordningen.»
6. Respekter de ansattes personvern
Hvis dere for tiden bruker verktøy eller teknologi for å overvåke produktiviteten til deres eksterne arbeidstakere, må dere vurdere hvordan dere balanserer deres gode hensikter med behovet for å beskytte de ansattes personvern, sier George Harris, GDPR-konsulent i DMPC Ltd(8). «Overvåking av ansatte er vanskelig å rettferdiggjøre i et tradisjonelt forretningsscenario», sier han.
Under GDPR-standarden er det vanskelig å overvåke enhetene til en ansatt (gjennom logging av tastetrykk eller bruk av mus) uten å krenke retten deres til personvern. Som arbeidsgruppen for artikkel 29 i GDPR sier: «Teknologier som overvåker kommunikasjon, kan […] ha en svært negativ effekt på de ansattes grunnleggende rett til å organisere seg, holde interne møter og å kommunisere konfidensielt (inkludert retten til å søke etter informasjon)(9).»
7. Ha en plan ved eventuelle databrudd
«Et databrudd kan omfatte alt fra en skadelig programvare som rammer en persons bærbare PC, til en ansatt som glemmer igjen jobbtelefonen sin på toget, eller at man utilsiktet sender e-post til en gruppe ved bruk av "cc" i stedet for "bcc"», sier James Walker, daglig leder hos Jaw Consulting UK, som spesialiserer seg på nettverkssikkerhet, databeskyttelse og personvern(10).
En leders første instinkt er gjerne å igangsette skadebegrensende prosedyrer, men under GDPR blir dette enda mer presserende. «En organisasjon har 72 timer på seg til å varsle både berørte enkeltpersoner og den relevante tilsynsmyndigheten om et databrudd, inkludert en analyse av den sannsynlige konsekvensen av bruddet og tiltakene som er tatt eller foreslått for å dempe de negative effektene av slike konsekvenser», sier Walker.
Husker du de nevnte bøtene på fire prosent? Det er det som kan stå på spill hvis dere ikke overholder reglene. «Unntaket fra denne detaljerte varslingsprosedyren er hvis dere kan bevise at bruddet sannsynligvis ikke medfører noen risiko for fysiske personers rettigheter og friheter», sier Walker. «Å vise at dere har kryptert dataene på riktig måte, vil langt på vei være tilstrekkelig og vil kunne oppheve kravet om å rapportere en slik hendelse som et databrudd.»
Kilder:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
