Tekniske sikkerhedsforanstaltninger
I denne artikel kan du læse mere om nogle af de tekniske foranstaltninger, som en virksomhed kan implementere for at efterleve kravet om at indføre “passsende tekniske og organisatoriske sikkerhedsforanstaltninger”.
Denne artikel indeholder ikke en udtømmende liste.
Indhold
Opdatering af software
Vidste du, at mange hackerangreb kan undgås, hvis du blot sørger for at holde dine systemer opdaterede?
Når en sikkerhedsbrist i software opdages, så vil softwareudbyderen hurtigst muligt lave en ny version af dette software, som lukker sikkerhedshullet.
I nogle tilfælde, så vil nyheden om en opdatering af software også gøre hackere opmærksom på, at der kan være en sikkerhedsbrist i denne software, og det giver dem en mulighed for at udnytte denne brist hos alle de brugere, som endnu ikke har opdateret software.
Ved at holde dine systemer opdaterede, så kan du undgå disse sikkerhedsbrister.
Firewall
En firewall forhindrer uønsket trafik i at tilgå dit netværk. En firewall svarer til at have en mur omkring sit hus, men med en port, som man kun åbner for indbudte gæster. Alle bør have en firewall til sit netværk for at beskytte mod uhindret trafik til sit netværk.
Antivirus
Antivirus bruges med henblik på at hindre skadelige filer, som allerede er på din enhed. Et antivirus program installeres på din enhed og analyserer herefter trafik og filer på enheden. Antivirus kan forhindre skaden i at ske, hvis den er under opsejling.
Kryptering
Kryptering gør dine data ulæselige for alle, der ikke har koden til at omdanne den ulæselige tekst til en læsbar tekst.
Ved at bruge kryptering, så beskytter du dine persondata mod uvedkommende i de tilfælde, at de kompromitteres. Det anbefales at bruge kryptering når det er muligt.
Mobile device management
Dine medarbejdere har bærbare computere, tablets og smartphones. Virksomhedens persondata kan være tilgængelige på samtlige af disse enheder, hvilket udgør en risiko, hvis de enheden misbruges eller mistes.
Med mobile device management software, så kan virksomheden administrere alle sine enheder centralt. Administratoren kan fx begrænse adgangsrettigheder eller slette alt indhold på en bortkommet bærbar computer, hvormed at persondata ikke kompromitteres.
Backup
Med backup af dine data, så sikres du mod bortkommelse af persondata, hvilket kan udgøre et sikkerhedsbrud. ¨Tab af persondata kan have betydelige konsekvenser for den service, som en kunde betaler for. Derfor er det god praksis at tage backup, således at behandlingen af kundens data (og virksomhedens service) stadig kan gennemføres uden yderligere skade.
Logning
Med backup af dine data, så sikres du mod bortkommelse af persondata, hvilket kan udgøre et sikkerhedsbrud.
Tab af persondata kan have betydelige konsekvenser for den service, som en kunde betaler for. Derfor er det god praksis at tage backup, således at behandlingen af kundens data (og virksomhedens service) stadig kan gennemføres uden yderligere skade.
Stærke adgangskoder
Adgangskoder kan brydes, hvis de er simple eller følger et genkendeligt mønster. Derfor kan et krav om stærke adgangskoder i virksomhedens systemer udgøre en vigtig sikkerhedsforanstaltning.
Adgangsrettigheder
Vær selektiv i forhold til hvilke systemer, som dine medarbejdere skal have adgangsrettigheder til. GDPR-reglen om “privacy by default” indebærer, at du som udgangspunkt kun bør give adgang til det nødvendige.
Herudover, så bør du også være selektiv i forhold til medarbejdernes rettigheder til hvert enkelt system. Det ses ofte, at medarbejdere får fuld adgang til et system, da dette er nemmest i det dalige arbejde, men dette er ikke i overensstemmelse med GDPR.
Du kan holde styr på samtlige rettigheder via et system som Active Directory eller lignende.
I den simpleste udgave kan du lave en oversigt med adgangsrettigheder til hvert enkelt system i et excelark, og styre medarbejdernes adgange manuelt. Dette kræver dog en ekstraordinær orden i virksomheden for at lykkes i praksis, men kan være nødvendigt i en mindre virksomhed.
Data discovery
Ved brug af fx Google Workspace eller Microsoft Office, så har du mulighed for at scanne virksomhedens brug af personoplysninger på mails, mapper, fildrev, etc., samt opsætte regler for brugen af disse.
Eksempelvis, så kan du forhindre, at der sendes mail ud af organisationen, hvis disse mails indeholder fx personnumre, pasnumre, kreditkortnummer, etc.
Dette redskab er derfor med til at give kontrol over alle de persondata, som langsomt knubskyder rundt omkring i mapper, filer og mailindbakkerne. Systemet kan anvendes til opsætning af generelle regler for organisationen eller af den enkelte medarbejder, som har mistet overblikket.
Facility management
Antivirus og firewalls hjælper ikke, hvis uvedkommende kan tilgå virksomhedens hardware. Hardware kan findes på virksomhedens lokationer, samt i den enkelte medarbejders hjem, hvis de tager arbejdsredskaberne med hjem.
Fysisk sikkerhed indebærer alt fra adgangsstyring til lokaler, alarmsystemer, brandsikkerhed, tyverisikring, videoovervågning, mv.
Mange af de brud på persondatasikkerheden, som anmeldes til Datatilsynet er sket med udgangspunkt i mistet hardware pga. Tyveri.
Derfor bør du også sikre, at din hardware ikke kan tilgås af uvedkommende.
Opsummering
Denne artikel indeholder blot et udsnit af tekniske foranstaltninger. Vi anbefaler, at du med udgangspunkt i din risikovurdering identificerer, hvilke tekniske foranstaltninger, som din virksomhed bør implementere.
Hvis virksomheden ikke har IT-kompetencer inhouse, så bør I kontakte en ekstern konsulent. Det er ofte pengene værd.