Sedan utrullningen av GDPR har företag och organisationer behövt ställa om när det kommer till dataskydd, sekretess och cybersäkerhetsåtgärder.
Kombinationen av allt fler digitaliserade företagsverksamheter med omfattande datainsamling, ökat distansarbete och en dataskyddsförordning som rört om hur personuppgifter ska hanteras, ställer både krav och utmanar organisationer i Sverige att hålla koll på viktiga data.
Har du någon gång blivit tillsagd på arbetsplatsen att inte skriva ner lösenord eller annan viktig information på exempelvis en post it-lapp – som enkelt kan tappas bort?
Det kanske låter banalt och visst har företag större saker att oroa sig för. Men faktum är att anställda ofta är ett av de större hoten mot ett företags IT-säkerhet, omedvetet som medvetet. I en undersökning av säkerhetsföretaget Proofpoint, genomförd bland 150 IT-säkerhetsansvariga på svenska företag med över 200 anställda, uppger 33 procent att interna incidenter, där till exempel anställda läcker information till tredje part, är ett vanligt förekommande. Viktig information och personuppgifter kan alltså ganska enkelt hamna i fel händer.
Att 59 procent uppger att de drabbats av minst en upptäckt cyberattack under de senaste tolv månaderna är oroväckande, men inte förvånande. Kapningsförsök av molnkonton (43 procent) men även riktade försök att komma åt inloggningsuppgifter (22 procent) är vanliga angreppsmetoder och ett tydligt resultat av att företag förlitar sig opålitlig teknik och brister i det förebyggande arbetet mot cybersäkerhetshot.
Börja med några enkla steg.
Att vi arbetar mer på distans idag är ingen nyhet, inte minst under rådande pandemi. En av utmaningarna här är att se till att anställda kan skydda data och arbeta på ett säkert sätt. A och O är att inte använda okrypterade USB-minnen, skicka mejl med känsliga bilagor eller använda webbläsarfunktioner som exponerar känsliga användardata. För de flesta organisationer är det bästa och enklaste du kan göra att skydda din nätverksperimeter – genom till exempel lösenordshanterare och tvåfaktorautentisering. Ett bra exempel på tvåfaktorsautentisering är när en användare uppmanas att ange ett lösenord på en dator samt en säkerhetskod som skickas till sin mobiltelefon när ett lösenord har tillhandahållits.
Användning av VPN blir allt vanligare bland små och medelstora företag, men vi ska vara försiktiga
med att överskatta förmågan hos VPN-tekniken. Ofta etablerar företag VPN-nätverk för att anställda
som arbetar på distans ska kunna lagra filer på- och använda sin bärbara dator utan hårdvarukryptering. Men vad händer om datorn blir hackad, borttappad eller stulen? Använd istället krypterade USB-enheter eller utrusta den bärbara datorn med hårdvarukrypterade SSD-enheter. Om en dator då blir stulen kan du vara säker på att ingen kommer att ha tillgång till de krypterade filerna. Du kan till och med välja att förstöra förlorade USB-enheter på distans.
GDPR har medfört att konsumenter är mer medvetna om deras datarättigheter. Om ett företag
förlorar kontroll över deras data så har konsumenten rätt till ersättning. Här kan ett dataskyddsombud
(DPO) hjälpa till. Om ditt företag gör regelbundna och systematiska övervakningar och hanterar
känsliga personuppgifter, se då över möjligheten att utse en DPO, intern eller extern, som ansvarar för
företagets datasekretess.
Utnyttja resurser.
Otaliga tillverkare och IT-leverantörer finns. Gör din research. Det handlar om att ha ett system på
plats från en betrodd leverantör som passar din verksamhet. En stor del av ansvaret ligger hos de
tekniska leverantörerna, att hjälpa organisationer dra nytta av innovativ teknik utan att äventyra deras
data, integritet eller IT-säkerhet.
Utbilda, utbilda, utbilda.
Det går inte att trycka nog på vikten av en utbildad och informerad anställd. Vi är alla mänskliga och
misstag kan ske. Dessutom arbetar många inom stressiga verksamheter, vilket bidrar till att fler
snedsteg inträffar. Det är upp till företaget att påverka beteendemässiga och kulturella förändringar
inom verksamheten. Om frågan lyfts proaktivt, så kan vi åtminstone se till att anställda är påminda om
riskerna. En ledningsfras för företag till anställda bör vara ”tänk om det vore din personliga data”.
Jan Terje Kleiven, Business Development Manager på Kingston EMEA