Hem SÄKERHET Allt mer känslig information i molnet – så skyddar du den bäst

Allt mer känslig information i molnet – så skyddar du den bäst

Publicerat av: Redaktionen

Världens organisationer fortsätter att lägga allt mer av sin information i molnet.

Allt mer känslig information i molnet – så skyddar du den bäst 3Detta är förstås i grunden en bra sak, eftersom molnet nästan alltid är säkrare än det lokala kontoret, men för den som hanterar känslig information – inte minst personuppgifter och kunddata – är det av allra största vikt att allt är rätt inställt, att man har rätt säkerhetsrutiner (som också följs) och en full insyn i var och hur data lagras och skyddas.

Enligt säkerhetsföretaget McAfees undersökning ”Enterprise Supernova: The Data Dispersion Cloud Adoption and Risk Report”, där man tillfrågade 1 000 företag i 11 länder (samt loggade anonyma data från 30 miljoner molnanvändare), innehåller nu över en fjärdedel (26 procent) av de analyserade molnfilerna känslig data. Det är en ökning med 22 procent jämfört med föregående år.

Dessvärre håller inte alltid säkerheten jämna steg med påfyllningen av data i molnet – hela 91 procent av de analyserade molntjänsterna krypterar inte data ”i vila”. Dessutom uppger var femte svarande att de saknar insyn i vilka data finns i deras molnapplikationer, samtidigt som bara 37 procent använder DLP-funktioner (Data Loss Prevention) för att skydda sig mot olika typer av dataförlust.

Känsliga data hamnar på personliga enheter

Vidare uppger nästan fyra av fem (79 procent) av de tillfrågade att de tillåter åtkomst till företagsgodkända molntjänster från personliga enheter, och en fjärdedel av de svarande medgav att de hade laddat ner känslig information från molnet till en okontrollerad personlig enhet.

Ovanstående är extra oroväckande med tanke på att mängden ”läckt” information av känslig karaktär ökat markant de senaste åren – inte minst på grund av felkonfigurationer och bristande kontroll i molnet. Enligt en annan stor studie från DivvyCloud exponerades 33,4 miljarder känsliga uppgifter på grund av felkonfigurationer i molnet under 2018 och 2019, vilket totalt orsakade kostnader på 5 biljoner dollar globalt för de berörda företagen.

Mellan 2018 och 2019 ökade antalet exponerade uppgifter till följd av felkonfigurationer i molnet med 80 procent. Tyvärr lär denna uppåtgående trend fortsätta, om inte företag genomför korrekta molnsäkerhetsåtgärder, i takt med att de antar allt fler molnlösningar.

DivvyClouds undersökning visar att teknikföretag hade flest incidenter och stod för 41 procent, följt av hälso- och sjukvårdsföretag på 20 procent och offentlig sektor med 10 procent. Anmärkningsvärt är också att hela 68 procent av de drabbade företagen grundades före 2010, medan endast 6,6 procent grundades 2015 eller senare

Sammantaget har vi alltså en allvarlig situation där det finns en ökad risk att känsliga uppgifter hamnar i orätta händer – något som i slutändan också kan drabba företagen som hanterar uppgifterna hårt ekonomiskt. Dels genom att de måste lägga tid, pengar och resurser på att få bukt med sina problem och upprätta ett adekvat skydd, och dels genom att de riskerar höga böter och sanktionsavgifter för att de misslyckats med att skydda känsliga data. GDPR ställer som vi vet mycket hårda krav på hanteringen av personuppgifter, och för den som inte följer riktlinjerna väntar en saftig räkning.

Så, nu till det mer konkreta. Att skaffa insyn i molnet och skydda känsliga data är egentligen inte så svårt som det kan verka. Men det handlar förstås om att veta var du ska börja och vad du bör fokusera på. Och det handlar om såväl tekniska lösningar, policys och rutiner och att öka medvetenheten hos alla anställda. Här nedan följer några viktiga saker som alla som hanterar personuppgifter (som kunddata) måste säkerställa och tänka på.

• Kryptering ett måste

När du flyttar till molnet, eller byter moln, måste du säkerställa att din plattform och dina molnlösningar erbjuder möjligheten att kryptera data – både när data ligger lagrat i molnet och när data överförs eller delas med affärspartners. Håll dig också uppdaterad om kryptering – krypteringsteknologier och processer utvecklas mycket snabbt. Organisationer som inte har granskat och vid behov uppdaterat sina krypteringsmetoder är ofta sårbara för attacker.

• Kontroll, kontroll, kontroll.

Skapa en strategi för enhetskontroll för att identifiera och kontrollera användningen av alla enheter som kan lagra eller ladda ner data. Detta minskar inte bara risken för att dåliga saker kommer in i ditt nätverk – det kan också hjälpa till att förhindra att känslig information läcker ut, av misstag eller med uppsåt. Använd applikationskontroll för att hålla reda på och begränsa onödig eller riskabel programvara.

Överväg också att begränsa åtkomsten till kundinformation – inte alla i en organisation behöver kunna se kundernas personliga information. Ju färre människor med ett verkligt behov av åtkomst, desto färre är också möjligheterna för angripare att hitta en svag punkt och stjäla data.

Det kan också vara en god idé att separera dina nätverk. Dagens cyberkriminella vill komma åt mer än bara en användares lösenord och några filer – de vill ha åtkomst till dina back-end-databaser, ditt PoS-nätverk och ditt testnätverk. Överväg därför att separera dina nätverk med kraftfulla brandväggar som behandlar dina interna avdelningar som potentiellt fientliga mot varandra, snarare än att ha en enda stor ”inre” barriär mot den fruktade ”utsidan”.

• Glöm inte de grundläggande säkerhetsfunktionerna

Det finns ett antal saker som du alltid bör ha i din verktygslåda för säkerhetsarbetet – oavsett om vi pratar om att skydda personuppgifter i molnet eller någon annanstans. Se till exempel till att du har ett effektivt endpoint-, nätverks- och e-postskydd som filtrerar bort merparten av skräppost, skadlig programvara och filer. Lär dina anställda att vara misstänksamma mot e-postmeddelanden, särskilt de som innehåller bilagor, och att alltid rapportera alla ovanliga e-postmeddelanden eller bilagor till IT-avdelningen. Dessvärre är det fortfarande allt för många företagsanställda som av misstag laddar ner skadlig programvara genom att klicka på länkar eller bilagor i e-postmeddelanden.

Därtill bör du givetvis ha rigorösa rutiner för lösenord, tillåt inga husdjursnamn, födelsedagar eller favoritlag för inloggning på molnplattformar där känsliga data lagras. Om det erbjuds ska du alltid implementera multifaktorsautentisering – faktum är att många har börjat prata om att skippa lösenorden helt och hållet och i stället använda exempelvis biometriska lösningar.

Så kallad ”skugg-IT”, en situation som uppstår när anställda använder otaliga molntjänster utan din vetskap, är ett problem vi skrivit om tidigare. Försök skaffa en överblick över vilka tjänster som faktiskt används i din organisation och hur de används. Informera dina anställda om det mycket olämpliga i att flytta känsliga företagsdata till en privat Dropbox eller liknande. Även om det är ”smidigare” för stunden så kan det kraftigt öka riskerna för att informationen kommer i fel händer (särskilt om lösenordet till Dropbox-kontot är svagt eller aldrig har ändrats),

Att patcha snabbt och kontinuerligt är en annan mycket viktig del av ditt säkerhetsarbete. Kända, men icke patchade, säkerhetshål är en av de allra vanligaste attackvektorerna som kriminella utnyttjar. Dessvärre är patchningen trots detta ofta väldigt eftersatt och lågprioriterat. Överväg därför att köpa in verktyg eller tjänster som sköter patchningen åt dig. På så sätt säkerställer du att ditt operativsystem och dina applikationer alltid är uppdaterade med de senaste säkerhetsfixarna.

• Spara bara det som är absolut nödvändigt.

Att samla in onödiga kunddata innebär inte bara slöseri med energi och resurser, utan ger också ett större kassavalv för angripare att rikta in sig på. Det kan också lätt få kunder att oroa sig och undra över varför du behöver samla in så mycket informationen överhuvudtaget. Samla och spara alltså bara det du verkligen behöver för affärsändamål. Du kan också ta det ytterligare ett steg och erbjuda kunderna möjligheten att själva välja om de vill dela personlig information med dig eller inte.

I stället för att alltid försöka få ut så mycket som möjligt av kundens data (många företag gör fortfarande automatiskt sina kunder till prenumeranter på utskick direkt efter en affär) efter att ditt företag har slutfört sin kommunikation med dem, kan du överväga att förstöra alla data efter att du har använt dem. Den typen av säkerhetstänk stärker kundernas förtroende för ditt integritetsarbete.

• Skydd av personuppgifter berör alla överallt

Gör kundens integritet till allas prioritet. Kundsäkerhet är alldeles för kritisk för att enbart hanteras av någon särskilt utvald. När du har omfattande säkerhetsrutiner och policys på plats, se till att alla i din organisation förstår dem och – framför allt – följer dem. Till exempel bör du lägga extra tyngd på att dina anställda förstår de potentiella riskerna med användning av egna enheter eller nätverk utanför kontoret.

Slutligen är det en god idé att låta kunderna veta att deras information är säker hos dig. Var transparent med exakt vad du gör för att hanteringen av personuppgifter ska bli så säker som möjligt. Var rak och tydlig i stället för att begrava detaljer i en oändlig textmassa som få, om ens några, kunder tar sig tid att läsa.

Betrakta ditt integritets- och säkerhetsarbete som mer än bara något nödvändigt ont. Låt det i stället var en del av din arsenal av marknadsföringsverktyg. Ju större ansträngningar du gör för att skydda kundinformation – och ju fler människor som känner till detta – desto större blir den övergripande tilliten för dig som aktör. Och det kan tveklöst gynna din affär som helhet.

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>