Det har blitt smertefullt tydelig at hackere ser på data som det nye gullet. Virksomheter og myndigheter blir nærmest daglig utsatt for cyber-angrep. Men alle trusler kommer ikke utenfra. Nylig lykkes en ansatt i en stor belgisk bank å gi en kunde tilgang til kundedata. Banken ble derfor tvunget til å rapportere dataovertredelsen til myndighetene.

Her er åtte tips som kan hjelpe deg å beskytte dataene bedre.

1. Begrens tilgang til data
Det kan virke innlysende, men kun ansatte med behov for det bør ha tilgang til ikke-offentlig informasjon. Hold oversikt over hvilke rettigheter de ulike ansatte har og spør deg selv regelmessig om de eksisterende rettighetene fortsatt er nødvendige for at en bestemt ansatt skal kunne gjøre jobben sin.

2. Krypter dataene
Kryptering av data er den beste måten å beskytte dem på. Det er en prosess der dataene konverteres til et uleselig format basert på en algoritme. Kun autoriserte personer kan dekryptere og lese den krypterte informasjonen. Selv om dataene blir stjålet, er de ubrukelige og derfor ikke interessante for datatyver.

3. Ha en sikkerhetspolicy
Dessverre er mennesker ofte det svakeste leddet i sikkerhetsprosesser. Ansatte er ofte ubevisste om farene ved datainnbrudd når de håndterer filer eller lagrer utdata. Det er derfor viktig å øke bevisstheten internt jevnlig og sikre at det finnes klare retningslinjer for datasikkerhet. Sørg for at de er entydige slik at det ikke er noen tvil om hvordan ansatte skal handle. På denne måten kan du unngå datainnbrudd på grunn av menneskelige feil og sikre at du overholder lovkrav om datahåndtering.

4. Ha en policy for datalagring
Grunnprinsippet for en dataoppbevaringspolicy er at du kun oppbevarer data så lenge det er absolutt nødvendig for forretningsformål. Jo mer data du beholder, desto vanskeligere blir det å beskytte dem. Dette grunnleggende prinsippet og implementeringen av en datalagringspolicy er også pålagt av GDPR-regelverket. En dataoppbevaringspolicy sikrer også at ansatte tenker på hvilke data de skal beholde og hvor lenge. Det sikrer også at ansatte vet hvordan de skal slette eller ødelegge data på riktig måte når de ikke lenger trenger dem.

5. Utarbeid og bruk et cybersikkerhetsprogram
Å sikre tilstrekkelig sikkerhet for IT-systemer, dataflyter og databaser er viktig for å sikre dataene konfidensialitet, tilgjengelighet og integritet.

Et cybersikkerhetsprogram bør være skreddersydd for den enkelte virksomhet. Det er ofte en kombinasjon av god antivirusprogramvare, brannmurer, inntrengningsdeteksjonssystemer, multifaktorautentisering, programvareoppdateringer, men cyberbevissthetstrening for ansatte er også viktig.

Et slikt program er heller ikke statisk. Den digitale verdenen utvikler seg raskt og hackere finner alltid nye måter å trenge inn i systemene på. Det er derfor viktig å følge med på hva som skjer i cyberlandskapet slik at du kan stramme inn eller forbedre sikkerhetstiltakene i tide.

6. Ikke glem fysiske sikkerhetstiltak
Mange datainnbrudd og tyverier skjer på nettet. Sjansen for å bli tatt er mye lavere for kriminelle hvis de utfører angrepet bak PC-en i et annet land. Men det betyr ikke at det ikke lenger er fare for at fysiske dokumenter som inneholder sensitiv informasjon blir stjålet.

Det er derfor også nødvendig å sikre at disse er forsvarlig beskyttet. Prinsippene er de samme som for digitale data. Sørg for at kun autoriserte personer har tilgang til papirdokumenter ved å oppbevare dem i låsbare rom eller skap. Sikre kontorarealene med et alarmsystem, installer sikkerhetskameraer og gi tilgangskontroll.

Husk også at mange datatyverier skjer innenfra. Det er ikke uvanlig at en ansatt som skal slutte skriver ut eller laster ned kundeporteføljen. Så sørg for at dette ikke er mulig.

7. Taushetserklæring (NDA) og databeskyttelsesavtale (DPA)
Deling av data eller konfidensiell informasjon er ofte uunngåelig. Derfor bør du sørge for at du deler data på en sikker måte, som også er i tråd med dine databehandleravtaler.

Du kan bruke taushetserklæringer for å kontraktsmessig sikre at informasjonen du deler i forretningsforhold forblir konfidensiell. Dette bør spesifisere hvilket materiale som skal deles, hvem som er ansvarlig for datasikkerhet og hva mottakeren må gjøre for å oppfylle sikkerhetsstandarden. Inkluder alltid en klausul som sier at tredjeparter ikke kan avsløre eller dele data med ikke-relaterte parter.

En god måte å dele data fysisk sikkert på er å bruke passordbeskyttede dokumenter, gjennom kryptert e-postkorrespondanse eller andre plattformer som krever at brukere identifiserer seg før de får tilgang til data.

Dokumenter disse kontraktsmessige forpliktelsene og sikkerhetstiltakene i et prospekt eller en engangstransaksjons-NDA. For pågående forretningsforhold eller pågående prosjekter bør du inkludere forpliktelsene i databehandleravtaler.

8. Automatiser og digitaliser så mye som mulig med en pålitelig partner
Jeg har allerede nevnt at menneskelige feil ofte er årsaken til datainnbrudd eller lekkasjer. Håndteringen av mange fysiske dokumenter øker også risikoen. Bare tenk på dokumenter som havner i søpla i stedet for å bli ødelagt. De ender bokstavelig talt ofte bare på gaten der alle kan nå dem.

Invester derfor i programvare som automatiserer administrative prosesser slik at det kreves minst mulig menneskelig inngripen. Dette sikrer at data er kryptert og at de først er tilgjengelige etter at autoriserte personer har identifisert seg korrekt.