{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
– Sky kan være svaret på mye, men ikke alt. Det første steget er å finne ut om du har lov til å dele personopplysninger til et tredjeland, sier Amund Lier og Catharina Nes, cybereksperter i PwC.
Cybersikkerhet er viktig når du flytter IT ut i skyen. Skytjenester gir mange fordeler som å spare kostnader og gjør det enklere å skalere opp. – Men det gir også noen utfordringer med at du er sårbar for hacking, sier Catharina Nes, personvernekspert i cyberavdelingen i PwC. Her er ni punkter du bør ha kontroll på for å beskytte bedriftens data og systemer.
The error is human. Mennesker har alltid vært et av de svakeste punktene i cybersikkerhetskjeden.
Det første du bør finne ut er om du har et rettslig grunnlag. Innebærer bruk av sky at du overfører personopplysninger til et tredjeland? Bruker du for eksempel Microsoft Azure så vil opplysningene forsvinne ut av beskyttelsesboblen GDPR har gitt oss i EU/EØS. Her er sjekklisten med seks punkter for å se hvordan du håndterer kravene til Schrems II.
Konsernsjefen er opptatt av å sikre at informasjon og IT-risiko ikke påvirker den samlede forretningsrisikoprofilen på en negativ måte. God risikostyring kan også gjøre det lettere å oppdage og utnytte nye forretningsmuligheter. Les mer om hvordan ledelsen kan få bedre styringsverktøy ved å benytte GRC-teknologi (Governance, Risk, and Compliance) i compliance og risk management-prosessene .
100 % oppetid eller always-on beredskap er noe som vil være både dyrt og vanskelig å løse for de fleste bedrifter. Alle virksomheter bør derimot ha en krise- og beredskapsplan å støtte seg til dersom krisen er et faktum . Å ha en plan (som du også har øvd på) dersom du mister internett eller blir utsatt for et cyberangrep gjør situasjonen mye mer håndterbar enn om du må lage planen der og da. Eksempelvis har du plikt til å melde fra til Datatilsynet innen 72 timer dersom du har hatt en cyberhendelse og personopplysninger har lekket. Den tiden kan gå fort dersom planen også skal lages samtidig.Husk at du har ansvaret for at opplysningene ivaretas på en sikker og robust måte og at du må ha rutiner og systemer for å følge opp, og dokumentere, dette ansvaret.
Å ha oversikt over tilganger til ansatte og eksterne, og hvem som har tilgang til hvilken data vil kunne minimere risikoen for virksomheten betraktelig. Identitets- og tilgangsstyring (Identity and Access Management, IAM) sørger for effektiv styring av digitale identiteter og tilganger, slik at virksomheten har kontroll over hvem som har tilgang til hva og når. IAM sikrer effektive og brukervennlige prosesser for å tildele og trekke tilbake tilgang.
Multifaktorautentisering (MFA) er viktig for å sikre at en person bekrefter sin identitet. Ved å bruke en annen form identifisering (noe du har eller er) i tillegg til passordet (noe du vet) gjør det mye vanskeligere for hackerne å benytte stjålet innloggingsinformasjon. –MFA er et enkelt sikringstiltak som gir stor verdi, sier Amund Lier, cyberekspert i PwC.
Dessverre er ikke multifaktorautentisering alltid nok. Privileged Access Management (PAM) minimerer muligheten for misbruk av tilgangene til de mest kritiske systemene og filene. Dette gjøres blant annet gjennom oppsett av systematiske sikkerhetsmekanismer, logging av aktivitet, avansert tilgangsstyring og passordhåndtering.
– Å ha kontroll på brukere og tilganger gjør at virksomheten blir mer effektiv. De styrker seg på informasjonssikkerhet og etterlevelse av lovverk, sier teamleder for IAM/PAM i PwC, Elisabeth Sellevoll Løkkebo.
NSM har gode grunnprinsipper som alle bedrifter bør følge, uansett størrelse.
Klassifisering eller kategorisering av data er et viktig element i skystrategien. Hvordan du velger å klassifisere data avhenger av type virksomhet og forretningsområde.
Følgende spørsmål vil trolig hjelpe deg på veien:
Hvilke typer data vil bli håndtert og behandlet i skyen?
Bør data klassifiseres etter grad av sensitivitet eller konfidensialitet?
Hvor vil dataen lagres og hvordan blir de håndtert? Datastyring er viktig både når det gjelder kritiske forretningsprosesser, sikkerhet, overholdelse av lov og forskriftskrav, effektivitet, personvern og i tilfelle av datatap.
Kryptering og nøkkeladministrasjon er en viktig del av datasikkerhetsaspektet, men kan også være en del av regulatoriske krav i det geografiske området der dataene lagres eller behandles. Hvor dataene befinner seg kan være uklart når man flytter ut i skyen (noen andre sitt datasenter). Kryptering og bruk av nøkler kan sørge for at lover og regelverk blir tatt hensyn til, samt sikre at virksomhetens data i skyen forblir private.
Logging, overvåking og rapportering vil være et godt verktøy for å identifisere både feil og sikkerhetsbrudd tidlig. Her finnes det en rekke manuelle og automatiserte løsninger, også for sky. Å ha på plass automatisk rapportering, og innsikt gjennom automatisk eller manuell overvåkning vil kunne gi både mer effektive arbeidshverdager og trygghet om at sikkerheten er ivaretatt.
Mennesker har alltid vært et av de svakeste punktene i cybersikkerhetkjeden. Med cyberrisiko som vokser er det viktig å gi de ansatte god opplæring. Endringsledelse er stikkordet. Gi de ansatte opplæring så du når forretningsmålene dine. Og uansett hvor gode de ansatte er, så vil de som oftest være det svakeste leddet når noen forsøker å få innpass.