Informationerne skal sikres, så de ikke kompromitteres. Ved at arbejde med at opretholde sine informationers fortrolighed, integritet og tilgængelighed, så kan man undgå at informationen kompromitteres.
Disse ord er lidt tekniske, men de er en god hjælp til at forstå informationssikkerhed. På engelsk er ordene: Confidentiality, Integrity og Availability, og forkortes til CIA. Det gør dem lidt nemmere at huske.
Informationssikkerhed i en lille dansk virksomhed?
Vi har efterhånden hørt om megaselskabernes tab af persondata fx Facebooks tab af 50 millioner profilers oplysninger. Hvilken relevans har dette for en lille dansk virksomhed i Aalborg?
Hvis dine egne fortrolige oplysninger mistes af en virksomhed, er det så vigtigt om virksomheden er stor eller lille?
Vil du hellere være 1 person blandt 50 millioner kunder i en global virksomhed, som har mistet sine personlige oplysninger, eller 1 person blandt 100 kunder i en lille dansk virksomhed i Aalborg?
Hvordan vil du have det ved at miste dine kunders data? Hvordan vil det påvirke dine kunders tillid til din virksomhed?
Hvordan vil dine ansatte reagere, hvis deres personlige oplysninger mistes? Og hvordan vil det påvirke dine forretninger, hvis du pludselig ikke har adgang til virksomhedens data pga. et angreb med ransomware?
Informationssikkerhed har betydning for dine kunder og ansatte, og det har betydning for din forretning.
Informationssikkerhed betyder ikke it-sikkerhed
Informationssikkerhed kræver i høj grad at it-sikkerheden er på plads, men it-sikkerhed er blot ét element i at sikre sine informationer.
Du får styr på din informationssikkerhed ved at arbejde med it-sikkerhed, jura, virksomhedens processer og medarbejdernes adfærd.
Lovgivning
For at sikre at virksomhedens informationer behandles sikkert, så skal du kende og følge lovgivningen på området. Persondataforordningen er den lovgivning, som fastsætter de mest vidtgående krav til danske virksomheders informationssikkerhed.
IT-sikkerhed
Informationer behandles næsten udelukkende elektronisk i dag. Derfor er det centralt at arbejde med virksomhedens it-sikkerhed.
Dette kræver, at virksomheden har identificeret og kortlagt sine informationsaktiver fx software, hardware, mv. Først når disse redskaber er identificeret kan I arbejde med it-sikkerheden.
Organisation og kultur
Hvis du hurtigt vil opnå en tryghed omkring virksomhedens informationssikkerhed, så betal en masse penge for avanceret software, som kan hjælpe din virksomhed.
Det er en falsk tryghed dog! Menneskelige fejl er oftest skyld i tab af informationer fx hvis en medarbejder utilsigtet klikker på et link i en mail, som downloader ondsindet software.
Det nytter derfor ikke noget at bruge en masse penge på de nyeste it-redskaber, hvis du ikke ændrer kulturen i virksomheden. Du sikrer bedst, nemmest og billigst virksomhedens informationssikkerhed ved at ændre kulturen i virksomheden.
Du kan bl.a. ændre kulturen i virksomheden ved at uddanne medarbejderne i deres roller og ansvar, samt ved at udarbejde procedurer for anvendelsen af data. Det første skridt i dette arbejde er at kortlægge virksomhedens informationer.
Du kan eksempelvis bruge persondataforordningens principper til at målrette dine retningslinjer for god databehandlingsskik.
Persondataforordningen fører til informationssikkerhed
Når man først efterlever persondataforordningen, så er man rigtig godt i gang med at have styr på sin virksomheds informationssikkerhed.
Persondataforordningen får dig nemlig til at kortlægge dine persondata og processer.
Herudover skal du med lovgivningen indgå aftaler med dine databehandlere, og generelt dokumentere din efterlevelse af lovgivningen, hvilket kræver, at du indfører procedurer for virksomhedens databeskyttelse, samt efterlever disse i praksis.
Ved at efterleve persondataforordningen øger din virksomhed sin informationssikkerhed, hvilket er persondataforordningens formål.
Din virksomheds gevinst med informationssikkerhed
Mange små virksomheder har aldrig fået dannet sig et struktureret overblik af virksomheden.
Dette kan skyldes, at virksomheden er nystartet, og har haft vigtigere opgaver, eller at virksomheden kun har få ansatte.
Derfor har det formentlig ikke været nødvendigt at nedskrive hvordan virksomhedens arbejdet skal gøres.
Professionalisme
Med persondataforordningen er det nødvendigt at beskrive din virksomheds processer, arbejdsredskaber, kunder, leverandører, samarbejdspartnere, online tilstedeværelse, samt virksomhedens fysiske indretning.
Denne kortlægning af virksomheden vil give et bedre overblik, som kan udgøre et strategisk fundament til at udvikle virksomheden.
Udarbejdelsen og indførelsen af retningslinjer for virksomhedens behandling af informationer vil medføre en højere grad af ensretning.
Dette vil give et fundament til at uddanne medarbejdere, professionalisere kontakten til kunder og samarbejdspartnere.
Herudover kan det give en anledning til at strømline virksomhedens processer, så I kan spare tid og bekymringer fremadrettet. Din virksomhed skal jævnligt gennemgå og føre tilsyn med databehandlere.
Dette arbejde kan give din virksomhed et overblik, som du kan bruge til løbende at optimere dine aftaler.
Branchestandard
Persondataforordningen er stadig ny, men den er allerede blevet til allemandseje, da selv landbruget nu tænker i informationssikkerhed.
Persondataforordningen medfører at forbrugere og ansatte løbende får større og bedre kendskab til deres rettigheder. Dette stiller yderligere krav til din virksomhed.
Omdømme
GDPR er vigtigt for din virksomheds omdømme.
Vi er der måske ikke helt endnu, men indenfor de næste par år vil din virksomheds informationssikkerhed blive sammenlignet med konkurrenternes.
Lidt ligesom, at smileyordningen er blevet et konkurrencevilkår for fødevarevirksomheder, så kan en potentiel kunde afkode om din virksomhed har styr på informationssikkerheden.
Ingen ønsker at spise på et pizzeria med en sur smiley, og ingen ønsker at give sine personoplysninger til en virksomhed, som signalerer, at de ikke har styr på datasikkerheden.
Opsummering
- Med persondataforordningen får du bedre styr på din informationssikkerhed.
- Informationssikkerhed er vigtigt for kunden, og for din virksomheds troværdighed.
- Persondataforordningen kan gøre dig klogere på din virksomhed, og øge din professionalisme.
- Informationssikkerhed er et konkurrencevilkår, som med persondataforordningen er kommet for at blive.