Loading...

Få styr på dine risici
og bliv klar til GDPR

Risikovurdering- og håndtering er centralt for at blive compliant med den nye persondataforordning. Brugeridentiteter er en af de største risikokilder – hvis de ikke beskyttes ordentligt. Kig på medarbejdernes adgange og hvordan de bliver brugt, råder Ole Kjeldsen, teknologi- og sikkerhedsdirektør ved Microsoft Danmark.

Den 25. maj nærmer sig, og dermed også dagen, hvor GDPR træder i kraft. Det er en kilde til bekymring for virksomheder landet over, små som store. Persondataforordningen stiller nemlig høje krav til alle virksomheder og organisationer, der indsamler, opbevarer og anvender persondata fra EU-borgere.

Individer får forbedrede privatlivsrettigheder, men virksomheder bliver underlagt strengere retningslinjer og større krav til beskyttelse af persondata. Hvis processerne for beskyttelse af persondata ikke dokumenteres på tilfredsstillende vis, kan virksomheden straffes med betydelige bøder.

GDPR virker uoverskueligt for mange, og analysevirksomheden Gartner forudser tilmed, at over 50 pct. af påvirkede virksomheder ikke er compliant med de nye krav i slutningen af 2018.

Men hvad skal man som virksomhed stille op, når forordningen lurer i horisonten, og man gerne vil undgå forretningslammende bøder? Ifølge Ole Kjeldsen, teknologi- og sikkerhedsdirektør i Microsoft Danmark, er Risk Management et vigtigt skridt på vejen mod compliance.

”Vi er begyndt at tale om risikohåndtering, når det kommer til databeskyttelse. Risikohåndtering handler ikke udelukkende om den tekniske platform, virksomheden bruger til at opbevare persondata. Det handler også om medarbejdernes adgang til data, og hvilke håndteringsprocesser der er implementeret. Det er ved at gå op for rigtig mange virksomheder lige nu,” fortæller han.

Den interne trussel er større, end du tror

Et område, der ofte overses i risikovurderingen er insidertruslen.
Medarbejdere, der har for mange adgange til data, de ikke bruger i deres daglige arbejde – eller tidligere medarbejdere, der uretmæssigt har adgang til virksomhedernes systemer – udgør en betydelig risiko for datasikkerheden. En tidligere medarbejder med dårlige hensigter, som stadig har adgang til virksomhedens interne systemer, kan hurtigt udrette stor skade. Det samme kan nuværende medarbejdere med dårlig forståelse for sikkerhedsprocedurerne.

Det er et problem i flere virksomheder, end man umiddelbart tror. Alt for mange organisationer mangler overblik over brugeridentiteter – og alt for mange virksomheder giver simpelthen medarbejderne adgang til for meget.

Strømlinet Identity Access Management er afgørende for at komme problemet til livs. Med fuldt overblik over, hvem der adgang til hvad, hvornår de fik adgang og hvorfor de har adgang, bliver det langt lettere at bevare kontrollen og lukke de sikkerhedssmuthuller, som cyberkriminelle udnytter.

”Medarbejdernes identitet er et af de hyppigste angrebspunkter, vi oplever lige nu. Hvis kriminelle får fat i medarbejderens credentials, har de fri adgang og kan bevæge sig langt ind i virksomhedens infrastruktur, uden at man kan spore dem. Derfor bør et af de vigtigste fokuspunkter for en it-sikkerhedschef være at få styr på sikkerheden omkring virksomhedens brugeridentiteter,” forklarer Ole Kjeldsen.

Det er afgørende for jeres sikkerhed – og evne til at leve op til sikkerhedsundersøgelser eller compliance audits – at kunne besvare detaljerede spørgsmål om jeres behandling af persondata. Overvej f.eks. om I kan svare på følgende:

  • Hvem tilgik eller ændrede data i virksomhedens systemer?
  • Hvornår blev data tilgået eller ændret?
  • Hvordan fik en specifik bruger adgang til data?
  • Blev ændringen i systemet godkendt, inden den blev foretaget?
  • Misbruger privilegerede brugere deres ubegrænsede systemadgang – tilgår de informationer, de ikke skal bruge?

Kan I samtidig dokumentere, hvordan I behandler og beskytter persondata, er I godt på vej.

Få overblik og kom de kriminelle i forkøbet

Hackerforsøg er et vilkår, som I som virksomhed ikke kan gøre noget ved. I kan dog gøre meget for at beskytte jeres data og forhindre kriminelle i at få adgang til personfølsomme oplysninger.

I et it-miljø uden kontrol, vedligeholdelse eller overvågning af ændringer i rettigheder og brugen af adgange, er det for let for kriminelle ubemærket at tiltvinge sig adgang til systemerne, hvor de kan manipulere rettigheder og let tilgå virksomhedens mest sensitive data.

”Et godt råd til at beskytte virksomhedens data er ganske enkelt: kig på risici, kig på adgange og kig på hvordan adgangene bliver brugt,” siger Ole Kjeldsen.

Logging af alle brugere og anvendelse af adgange er derfor en central del af Identity Access Management. For at kunne leve op til eksterne audits, men i lige så høj grad for at kunne reagere på trusler og tage interne sikkerhedsrisici i opløbet.

”Det er vigtigt at have styr på identiteter, men det er mindst lige så vigtigt at have styr på, hvad brugerne har adgang til. En log er ikke til at komme udenom, men virksomheden skal også kunne reagere på den,” siger Ole Kjeldsen. ”Som virksomhed er det afgørende at stille sig selv spørgsmålet: Hvilke procedurer har vi implementeret for at sikre, at loggen kan afsløre anormaliteter i databehandlingen?”

Et værktøj til Identity Access Management er nødvendigt, når I skal leve op til GDPR-kravene. Der er dog ingen mirakelkur. I skal bruge værktøjet ordentligt, kortlægge jeres processer, rydde ud i jeres data og implementere de rette databehandlingsstrategier. Her gør det rigtige Identity Access Management-værktøj processen gennemførlig, overskuelig og endda omkostningseffektiv – så det store arbejde med at blive compliant lettes en smule.

Læs mere om 2ndC’s løsning til Identity Access Management og bliv klogere på, hvordan vi kan hjælpe jer med at beskytte jeres organisation.

Seneste indlæg


2018-06-22T10:44:47+00:00

Hvert kvartal udsender vi et nyhedsbrev om udviklingen og trends inden for Identity Access Management. Vil du også blive klogere på, hvad der rører sig inden for branchen – og i 2ndC?   Så tilmeld dig vores mailingliste.

SKRIV DIG OP TIL VORES NYHEDSBREV

SKRIV DIG OP TIL VORES NYHEDSBREV