Hvor sikre er dine virksomheds data, når de forlader kontoret? Databeskyttelsesforordningen (GDPR) træder i kraft denne måned og kommer til at påvirke enhver organisation verden over, som indsamler eller behandler personlige data om EU-borgere. Eksperter i overholdelse af databeskyttelsesforordningen vil her fortælle dig, hvordan du beskytter din virksomhed
Hvis din virksomhed er afhængig af fjernarbejde, ved du allerede, hvor vigtigt det er at sørge for, at data ikke bliver misbrugt, forlagt eller uretmæssigt tilegnet. Men når databeskyttelsesforordningen (GDPR) træder i kraft denne måned (maj 2018), er det også vigtigt at sikre, at du overholder forordningens strenge krav – eller risikere betydelige formuetab og skader på omdømme. Hvordan kan du så beskytte dine data på farten, samtidig med at du bevarer fordelene ved fleksibel arbejdsstyrke?
1. Få uddannet dine medarbejdere
Ifølge GDPR er din virksomhed "informationsejeren", og dine medarbejdere, der arbejder fjernt, er "informationsforvalterne". "Dette betyder, at de spiller en lige så stor rolle i at holde dine virksomheds data sikre, som du gør," siger John Slaughter, der er direktøren for Data Comply(1). "Overholdelse af GDPR bør være en prioritet i deres daglige roller, især når de arbejder væk fra kontoret," tilføjer han. "Klare retningslinjer for brugen af sikre netværk er alfa og omega, så sørg for at få formidlet, hvad der er begrænset til et sikkert miljø." Han råder virksomheder til at regelmæssigt at uddanne, genuddanne og evaluere medarbejdere for at sikre, at de forstår problemerne, og at deres arbejdspraksis er aktuel.
Virksomheder bør også overveje at påminde deres medarbejdere om, at offentlig wi-fi på ingen måde er lig med sikker wi-fi. "En person burde ikke tilgå sin bank på et offentligt netværk, så de burde heller ikke tilgå fortrolige arbejdsdokumenter," siger Andy Kays, som er teknologichefen for Redscan, der er specialister i trusselpåvisning og -respons(2). "Tilskynd medarbejdere til kun at bruge sikre wi-fi-adgangspunkter eller tilslutte til virksomhedens netværk via en sikker (VPN) forbindelse. Det er også godt at tilslutte sig til internettet via 4G (eller en dongle), hvilket giver medarbejdere en god og sikker forbindelse til tjenesteudbyderen."
2. Brug kodeord til alt
GDPR vil højst sandsynligt have beføjelsen til at pålægge bøder på op til fire procent af en virksomheds globale omsætning i tilfælde af betydelige databrud, Den eneste undtagelse er, hvis du kan bevise, at dataene var ordenligt krypterede.
"Fejlfri sikkerheds findes ikke – selv NASA er blevet hacket," siger Rumænien-baserede Andrei Hanganu, som er forfatter af den europæiske GDPR Documentation Toolkit(3). "Men stærke kodeord og passende krypteringsløsninger vil hjælpe med at sikre dine personlige data mod uautoriserede brugere."
De fleste virksomheder har indført software til at kryptere drev og alle filer, der gemmes på dem, men dette gælder ikke automatisk for eksterne drev. Hanganu anbefaler, at man udleverer den nødvendige krypteringssoftware til bærbare computere, mobiler og stationære computere – derefter skal alle brugere anvende en PIN eller et kodeord for at tilgå og dekryptere dataene, så de bliver læsbare. All medarbejdere skal få for vane at bruge kodeord til alt.
3. Hold dig fri for snavs
Vira og malware-angreb kan indsamle og spore data, hvilket betyder, at de også falder under GDPR. "Nu hvor det er så svært at gardere sig mod malware, har de fleste virksomheder den holdning, at det ikke handler om, hvorvidt man bliver ramt, men hvornår," siger Nigel Tozer, som er direktør for EMEA Solutions Marketing hos Commvault(4). Han anbefaler, at man sørger for, at medarbejdernes enheder er beskyttet af de mest moderne operativsystemer og antivirus-software.
"Mennesker er altid det svageste led i en virksomheds sikkerhed, og der kan være alvorlige konsekvenser, hvis bare en enkelt medarbejder klikker på et ondsindet link eller ikke opdaterer sit system," siger Andy Kays. "Det er derfor vigtigt at øge bevidstheden omkring cybersikkerhedsrisici gennem regelmæssig uddannelse af medarbejderne, særligt blandt fjernarbejdende medarbejdere, som kan tilgå virksomhedsdata og -tjenester fra adskillige enheder, placeringer og netværk."
Virksomheder kan også overveje at indføre regelmæssige sessioner med IT-afdelingen, hvor medarbejderne medbringer deres mobile enheder for jævne sikkerhedskontroller, opdateringer og opgraderinger.
Har din organisation en strategi mht. at holde data sikre, så snart de forlader kontoret?
4. Husk visuel sikkerhed
"I en teknologisk avanceret verden er det let at glemme, at der stadig er lavteknologiske metoder, hvorpå folk kan stjæle dine virksomhedsdata," siger Orlagh Kelly, som er advokat og direktør for Briefed GDPR Training and Consultancy Specialists(5).
I et eksperiment udført af 3M var en undercover hacker i stand til at få fingrene i følsomme oplysninger udelukkende ved hjælp af "skuldersurfing" (det at kigge på en persons skærm) i 88 % af forsøgene(6).
"Få opfordret dine medarbejdere til at være opmærksomme på, om nogen kan se over deres skulder, når de arbejder væk fra kontoret," siger Kelly. Du kan måske overveje at udlevere afskærmningsfiltre, som fastgøres til en skærm og blokerer for siderne, hvis nogen skulle få lyst til at smugkigge.
5. Vær klar over skyens begrænsninger
Ifølge en undersøgelse foretaget af Ponemon Institute er 44 % af de virksomhedsdata, der opbevares i skyen, hverken administreret eller kontrolleret af virksomhedens IT-afdeling. Som følge deraf kunne undersøgelsen også afsløre, at brugen af skytjenester kan tredoble chancen for et databud, der koster 20 mio. USD(7).
"Det er meget vigtigt at vælge den rette skyudbyder," siger Nigel Tozer. "Du er nødt til at vide, præcis hvordan de håndterer et databrud, da der er forpligtelser på begge sider. Hvis alle dataene bliver inden for EU, skal din skyudbyder sikre, at de vedligeholder dataene på en måde, der er i overensstemmelse med dine lovkrav. Du bør også sørge for, at alle data, der forlader EU, er tilstrækkeligt beskyttede med hensyn til GDPR."
Tozer pointerer, at når det kommer til GDPR, så er din virksomhed den dataansvarlige, selvom skyudbyderen behandler dataene. "[Dette betyder], at det er dit ansvar at kontrollere din udbyders oplysninger og sørge for, at udbyderen tilbyder tilstrækkelige garantier om at implementere de nødvendige tekniske og organisationsmæssige sikkerhedsforanstaltninger, der overholder den nye EU-forordning."
6. Respektér dine medarbejderes privatliv
Hvis du allerede nu bruger værktøjer eller teknologi til at holde øje med de fjernarbejdende medarbejderes produktivitet, er du nødt til at overveje, hvordan du tilpasser dine gode hensigter med et behov for at beskytte deres privatliv, siger George Harris, der er GDPR-konsulent for DMPC Ltd(8). "Det er svært at begrunde en overvågning af ens medarbejdere i et almindeligt forretningsscenarie," siger han.
Det er svært under GDPR at overvåge en medarbejders enhed (gennem registrering af tastetryk eller sporing af musens bevægelser) uden at krænke deres ret til privatliv. Ifølge GDPR Artikel 29-gruppen kan "teknologier, der overvåger kommunikation, […] have en neddæmpende effekt på medarbejdernes fundamentale ret til at organisere og planlægge møder samt kommunikere fortroligt (herunder retten til at opsøge oplysninger)(9)."
7. Hav en handlingsplan for databrud
"Et databrud kan omfatte alt fra et malware-angreb, der påvirker en persons bærbare computer, til en medarbejder, der efterlader sin arbejdstelefon på toget, til en medarbejder, der ved et uheld sender en e-mail med oplysninger til en gruppe gennem ‘cc’ frem for ‘bcc’," siger direktøren for Jaw Consulting UK, som specialiserer sig inden for cybersikkerhed, databeskyttelse og privatlivets fred(10).
Selvom din første indskydelse er at indlede procedurer til skadebegrænsning, er det under GDPR endnu vigtigere at være på dupperne. "En organisation har 72 timer til at underrete både de berørte personer samt den relevante tilsynsmyndighed om et databrud, inklusive give en analyse af bruddets sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslået for at begrænse konsekvensernes negative indvirkninger," siger Walker.
Kan du huske de der bøder på fire procent, som blev nævnt tidligere? Det er, hvad der kan vente, hvis du ikke efterkommer kravene. "Undtagelsen til denne detaljerede underretningsprocedure er, hvis du kan bevise, at det er usandsynligt, at bruddet udgør en risiko for den fysiske persons rettigheder og friheder," siger Walker. "Det er en god ting, hvis du kan vise, at du havde krypteret dataene på en forsvarlig måde, og det kan måske løfte kravet om overhovedet at rapportere sådan en hændelse som et databrud."
Kilder:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
