Få styr på dine risici og få kontrol GDPR

Opdateret d. 17. marts 2021

Risikovurdering og -håndtering er centralt for at være compliant med persondataforordningen. Brugeridentiteter er en af de største risikokilder – hvis de ikke beskyttes ordentligt. Kig på medarbejdernes adgange og hvordan de bliver brugt, råder Ole Kjeldsen, teknologi- og sikkerhedsdirektør ved Microsoft Danmark. 

Den 25. maj 2018 trådte GDPR i kraft. Det var en kilde til bekymring for virksomheder landet over, små som store. Persondataforordningen stiller nemlig høje krav til alle virksomheder og organisationer, der indsamler, opbevarer og anvender persondata fra EU-borgere. 

Individer får forbedrede privatlivsrettigheder, men virksomheder bliver underlagt strengere retningslinjer og større krav til beskyttelse af persondata. Hvis processerne for beskyttelse af persondata ikke dokumenteres på tilfredsstillende vis, kan virksomheden straffes med betydelige bøder. 

Læs også > Digitalisering øger behovet for kontrol 

GDPR har været en uoverskuelig proces for mange virksomheder. Flere år senere er der stadig mange, der oplever udfordringer med at efterleve reglerne.  

Men hvad skal man som virksomhed stille op for løbende at overholde reglerne og for at undgå de store bøder, der potentielt kan falde? Ifølge Ole Kjeldsen, teknologi- og sikkerhedsdirektør i Microsoft Danmark, er risikovurdering, eller Risk Management, et vigtigt skridt på vejen mod compliance. 

”Vi er begyndt at tale om risikovurdering, når det kommer til databeskyttelse. Risikovurdering handler ikke udelukkende om den tekniske platform, virksomheden bruger til at opbevare persondata. Det handler også om medarbejdernes adgang til data, og hvilke håndteringsprocesser der er implementeret. Det er ved at gå op for rigtig mange virksomheder lige nu,” fortæller han. 

Den interne trussel er større, end du tror

Et område, der ofte overses i en risikovurdering, er insidertruslen. 

Medarbejdere, der har for mange adgange til data, de ikke bruger i deres daglige arbejde – eller tidligere medarbejdere, der uretmæssigt har adgang til virksomhedernes systemer – udgør en betydelig risiko for datasikkerheden. En tidligere medarbejder med dårlige hensigter, som stadig har adgang til virksomhedens interne systemer, kan hurtigt udrette stor skade. Det samme kan nuværende medarbejdere med dårlig forståelse for sikkerhedsprocedurerne. 

Læs også > Menneskelige fejl: Den oversete trussel 

Det er et problem i flere virksomheder, end man umiddelbart tror. Alt for mange organisationer mangler overblik over brugeridentiteter – og alt for mange virksomheder giver simpelthen medarbejderne adgang til for meget. 

Strømlinet Identity and Access Management er afgørende for at komme problemet til livs. Med fuldt overblik over, hvem der adgang til hvad, hvornår de fik adgang og hvorfor de har adgang, bliver det langt lettere at bevare kontrollen. Dermed bliver det muligt at lukke de sikkerhedssmuthuller, som cyberkriminelle udnytter. 

Medarbejderens identitet er vigtigste fokuspunkt

”Medarbejdernes identitet er et af de hyppigste angrebspunkter, vi oplever lige nu. Hvis kriminelle får fat i medarbejderens credentials, har de fri adgang og kan bevæge sig langt ind i virksomhedens infrastruktur, uden at man kan spore dem. Derfor bør et af de vigtigste fokuspunkter for en it-sikkerhedschef være at få styr på sikkerheden omkring virksomhedens brugeridentiteter,” forklarer Ole Kjeldsen. 

Det er afgørende for jeres sikkerhed – og evne til at leve op til sikkerhedsundersøgelser eller compliance audits – at kunne besvare detaljerede spørgsmål om jeres behandling af persondata. Overvej f.eks. om I kan svare på følgende: 

  • Hvem tilgik eller ændrede data i virksomhedens systemer? 
  • Hvornår blev data tilgået eller ændret? 
  • Hvordan fik en specifik bruger adgang til data? 
  • Blev ændringen i systemet godkendt, inden den blev foretaget? 
  • Misbruger privilegerede brugere deres ubegrænsede systemadgang – tilgår de informationer, de ikke skal bruge? 

Kan I samtidig dokumentere, hvordan I behandler og beskytter persondata, er I godt på vej. 

Foretag en risikovurdering og kom de kriminelle i forkøbet

Hackerforsøg er et vilkår, som I som virksomhed ikke kan gøre noget ved. I kan dog gøre meget for at beskytte jeres data og forhindre kriminelle i at få adgang til personfølsomme oplysninger. 

I et it-miljø uden kontrol, vedligeholdelse eller overvågning af ændringer i rettigheder og brugen af adgange, er det for let for kriminelle ubemærket at tiltvinge sig adgang til systemerne. Her kan de manipulere rettigheder og let tilgå virksomhedens mest sensitive data. 

”Et godt råd til at beskytte virksomhedens data er ganske enkelt: kig på risici, kig på adgange og kig på hvordan adgangene bliver brugt,” siger Ole Kjeldsen. 

Logging af alle brugere og anvendelse af adgange er derfor en central del af Identity and Access Management. For at kunne leve op til eksterne audits, men i lige så høj grad for at kunne reagere på trusler og tage interne sikkerhedsrisici i opløbet. 

”Det er vigtigt at have styr på identiteter, men det er mindst lige så vigtigt at have styr på, hvad brugerne har adgang til. En log er ikke til at komme udenom, men virksomheden skal også kunne reagere på den,” siger Ole Kjeldsen. ”Som virksomhed er det afgørende at stille sig selv spørgsmålet: Hvilke procedurer har vi implementeret for at sikre, at loggen kan afsløre anormaliteter i databehandlingen?” 

Et værktøj til Identity and Access Management er nødvendigt, når I skal leve op til GDPR-kravene. Der er dog ingen mirakelkur. I skal bruge værktøjet ordentligt, kortlægge jeres processer, rydde ud i jeres data og implementere de rette databehandlingsstrategier. Her gør det rigtige Identity and Access Management-værktøj processen gennemførlig, overskuelig og endda omkostningseffektiv. Derved bliver det store arbejde med at blive compliant lidt lettes.