Privatlivets fred og databeskyttelse: Afvej din tilgang til cybersikkerhedsrisiko

Af Eric Schmitt – global informationssikkerhedschef og Brenda G. Corey – SVP compliance & regulatory

I en verden, hvor privatlivets fred og beskyttelse bliver stadig vigtigere, skal virksomhederne finde en balance mellem deres risikobevidsthed og overholdelse af lovgivningen i en tid med hurtigt skiftende regler.

Fra et databeskyttelsesperspektiv har der i løbet af de seneste 24 måneder været øget fokus på at sikre, at data kun opbevares i den periode, hvor det er nødvendigt, eller som krævet af loven. Med love om gennemsigtighed og datarettigheder, der nu er i kraft i to amerikanske delstater (Californien CPRA,Virginia) og træder i kraft i yderligere tre amerikanske delstater i løbet af 2023 (Colorado,Connecticut,Utah), er det nu tid for virksomhederne at vurdere deres infrastruktur, isolere områder, der kan udnyttes af ondsindede aktører, og uddanne medarbejderne i bedste praksis for beskyttelse af følsomme data.

Opbevaring af dokumenter

Et vigtigt fokusområde er fuld overholdelse af en plan for opbevaring af dokumenter. Planen for opbevaring af dokumenter er afgørende for at sikre, at vi kun opbevarer data i den nødvendige periode, reducerer risikoen ved at mindske mængden af lagrede data og overholder ny lovgivning. Virksomheder over hele verden er i dag i gang med denne proces og revurderer deres eksisterende politikker for at sikre overholdelse. Det er vigtigt at sikre, at forpligtelserne til opbevaring af dokumenter overholdes for flere interessenter – lovgivende myndigheder, kunder og forsikringsselskaber – og i specifikke jurisdiktioner såvel som på globalt plan.

Cyber-modstandsdygtighed

På den tekniske side af virksomheden er det vigtigt, at teams inden for cybersikkerhed, backup og katastrofeberedskab samarbejder og tilbyder et mere samlet program under banneret "cyberresiliens". Et sådant partnerskab er med til at sikre, at kontinuitetsplaner, herunder forretnings- og teknologikontinuitetsplaner, tager højde for, hvordan man implementerer beskyttelse i tilfælde af en cybertrussel, så en organisation hurtigt kan reagere på nye trusler. Virksomheder bør sikre sig, at deres kontinuitetsprogram omfatter cyberrelaterede spørgsmål.

Trusselsjagt

Med missionen om at "bryde sig selv, før andre gør det" søger cybersikkerhedsteams at angribe en organisations egne cybermiljøer på samme måde, som en ondsindet aktør ville gøre – en proces, der kaldes trusselsjagt. Dette giver ikke kun synlighed til at spotte de svage punkter, hvor angreb kan forekomme, men også til at opbygge en hurtigere reaktion, så backupdata kan beskyttes for at sikre, at ikke alt går tabt i tilfælde af en trussel. Trusselsjagt bør supplere et robust program til sårbarheds- og penetrationstest, ikke erstatte det. Der er to store fordele ved trusselsjagt – dine forsvarere lærer at identificere angreb, når de arbejder sammen med trusselsjægerne, og virksomheden kan hjælpe med at identificere områder, hvor der muligvis er behov for yderligere kontrol.

Oprettelse af en forsvarslinje

Du skal vide, hvad du har, før du kan beskytte det. Ved at kortlægge alle forretningsområder og de typer data, der flyder på tværs af dem – herunder hvilke leverandører der deler disse oplysninger – kan du få et klart billede af, hvordan og hvor data er sikret. Ved hjælp af MITRE's "crown jewel exercises" kan du fremhæve sårbarheder omkring data, der skal beskyttes, så forsvaret kan lagdeles i overensstemmelse hermed.

Uddannelse af kolleger er et andet niveau i bestræbelserne på at opnå optimal databeskyttelse og -sikkerhed. Når det kommer til cybersikkerhedsrisici, er dine medarbejdere din første og sidste forsvarslinje. Spørgsmålet om, hvordan medarbejderne kan uddannes bedre til at identificere indgående trusler, såsom phishing-e-mails og andre ondsindede aktiviteter – og hvordan man kan styrke denne adfærd på en positiv måde – bør altid være i fokus. Der bør regelmæssigt afholdes træningsøvelser i phishing-e-mails for hele organisationen. Medarbejdere i teams, der konstant håndterer følsomme data, kan have behov for hyppigere vurderinger for at forhindre databrud.

I skadesbranchen arbejder privatlivsansvarlige med at sikre, at anmodninger om datarettigheder behandles hurtigt og effektivt for de enkelte skadesanmeldere. I overensstemmelse med lovgivningen om privatlivets fred kan kunstig intelligens udnyttes til at levere bedre tjenester til enkeltpersoner, f.eks. i forbindelse med automatiserede skadesvurderinger.

Privacy by design

Databeskyttelse og sikkerhed kan være en differentiator for en virksomhed og dens kunder, når det er "indbygget" i investerings- og driftsstrategien. Når en virksomhed udvikler sine nye processer og programmer, herunder informationsflowet inden for systemet, er det vigtigt, at teams i front-end ved, hvordan man håndterer privatlivets fred ved design. Tilsynsmyndighederne lægger større vægt på at reducere dataaftrykket, og virksomhederne skal udvise rettidig omhu ved at stille dybtgående spørgsmål om deres datasikkerhedsprogrammer og afveje deres investeringer i trusselsinformation.