Hur säkra är dina företagsuppgifter utanför ditt kontor? Den allmänna uppgiftsskyddsförordningen (GDPR) träder i kraft denna månad, vilket påverkar alla organisationer över hela världen som samlar in eller behandlar personuppgifter om EU-invånare. Här ger GDPR-efterlevnadsexperterna dig råd om hur du skyddar ditt företag
Om ditt företag är beroende av distansarbetare vet du redan hur viktigt det är att se till att data inte missbrukas, misskötts eller missgynnas. Men med den allmänna uppgiftsskyddsförordningen (GDPR) som träder i kraft denna månad (maj 2018) är det också viktigt att du uppfyller regelverkets strikta krav – annars står du inför betydande ekonomiska konsekvenser och eventuell skada på företagets anseende. Så hur kan du skydda uppgifterna på resande fot och samtidigt behålla fördelarna med en riktigt flexibel arbetskraft?
1. Utbilda dina anställda
På GDPR-språk är ditt företag "informationsägare" och dina distansanställda "informationshanterare". "Det betyder att de har en lika stor roll som du när det kommer till att skydda företagsuppgifterna", säger John Slaughter, VD på Data Comply(1). "GDPR-överensstämmelse bör bli en daglig prioritet för dem, särskilt om de arbetar på distans", tillägger han. "Det är viktigt med tydliga riktlinjer om hur man använder säkra nät, så identifiera och kommunicera vilka uppgifter som är begränsade för en säker miljö." Han uppmanar företagen att regelbundet utbilda, omskola och granska anställda för att säkerställa att de förstår problemen och att de använder aktuella metoder.
Företagen bör också överväga att påminna sin personal om att offentlig WiFi inte alls är säker. "En person borde inte göra bankärenden via ett offentligt nätverk, och samma sak gäller för konfidentiella arbetsdokument," säger Andy Kays, CTO vid företaget Redscan som specialiserar på att upptäcka och hantera hot(2). "Uppmuntra arbetstagare att bara använda säkra WiFi-anslutningspunkter eller att ansluta till företagets nätverk via en säker anslutning (VPN). Det går också bra att ansluta till internet via 4G (eller en dongel), vilket ger medarbetarna en bra och säker anslutning till tjänsteleverantören."
2. Lösenordsskydda allt
GDPR kommer sannolikt att ha befogenhet att böta upp till fyra procent av företagets globala omsättning vid betydande uppgiftsöverträdelser. Det enda undantaget är om du kan visa att uppgifterna var krypterade på rätt sätt.
"Det finns inget som är idiotsäkerhet – även NASA har hackats", säger Andrei Hanganu, författare till EU:s GDPR-dokumentationsverktyg och baserad i Rumänien (3). "Men starka lösenord och adekvata krypteringslösningar hjälper dig att skydda dina personuppgifter från obehöriga användare."
De flesta företag har programvara för att kryptera de enheter och filer som sparas på dem, men det gäller inte automatiskt för fjärranslutna enheter. Hanganu rekommenderar företagen att tillhandahålla de krypteringsprogram som krävs för bärbara datorer, mobiler och personliga stationära datorer. Det enda användaren då behöver är en PIN-kod eller ett lösenord för att komma åt och avkoda data till läsbar form. Alla anställa borde ha vanan inne att lösenordsskydda allt.
3. Håll rent
Virus och sabotageattacker kan samla och spåra uppgifter, vilket innebär att de också omfattas av GDPR-standarden. "Då det är riktigt svårt att skydda sig mot vissa sabotageprogram, anser de flesta företag att det inte handlar om ifall man kommer drabbas utan snarare om när, säger Nigel Tozer, chef för EMEA Solutions Marketing på Commvault(4). Han rekommenderar företagen att se till så att de anställdas enheter skyddas av de senaste operativsystemen och antivirusprogrammen.
"De anställda är alltid den svagaste länken för en organisations säkerhet och en enda anställd som klickar på en skadlig länk eller misslyckas med att uppdatera sitt system kan ge förödande konsekvenser", tillägger Andy Kays. "Det är därför viktigt att öka medvetenheten om cybersäkerhetsrisker genom regelbunden personalutbildning, särskilt med distansarbetare som eventuellt kommer åt företagsuppgifter och tjänster från flera enheter, platser och nätverk."
Företag kan också överväga regelbundna möten med IT-avdelningen, under vilka de anställda ger in sina mobila enheter för regelbundna säkerhetskontroller, uppdateringar och uppgraderingar.
Har din organisation en strategi för att säkra uppgifter när de lämnar kontoret?
4. Kom ihåg visuell säkerhet
"I en tekniskt avancerad värld är det lätt att glömma att det fortfarande finns lågteknologiska sätt för människor att stjäla företagsuppgifter", säger Orlagh Kelly, advokat och VD på Briefed – GDPR Training and Consultancy Specialists(5).
I ett experiment som utfördes av 3M kunde en hemlig hackare få tillgång till känslig information bara genom att "axelsurfa" (titta över någons axel på skärmen) i 88 % av försöken(6).
"Uppmuntra de anställda att vara medvetna om vem som kan se dem över axeln medan de arbetar utanför kontoret", säger Kelly. Du kan överväga att använda sekretessfilter som sätts utanpå skärmen och som blockerar de som försöker ta en titt från sidan.
5. Förstå molnets begränsningar
Enligt en undersökning från Ponemon Institute hanteras och kontrolleras 44 procent av företagsuppgifterna som lagras i molnmiljöerna inte av IT-avdelningen. Till följd av detta avslöjar undersökningen också att användningen av molntjänster kan öka sannolikheten för en överträdelse värd 20 miljoner dollar trefaldigt(7).
"Det är väldigt viktigt att välja rätt molnleverantör", säger Nigel Tozer. "Du behöver veta exakt hur de kommer att hantera en dataöverträdelse, eftersom båda parterna har skyldigheter. Om alla uppgifter stannar kvar inom EU, bör din molnleverantör se till att de upprätthåller det på ett sätt som överensstämmer med lagstadgade krav. Du bör också kontrollera att data som lämnar EU är tillräckligt skyddade med hänsyn till GDPR."
Tozer påpekar att när det kommer till GDPR så betraktas din verksamhet som kontrollanten, medan molnleverantören är registerföraren. "[Det betyder] det är ditt ansvar att kontrollera din leverantör och se till att de ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska skyddsåtgärder som uppfyller den nya EU-förordningen."
6. Respektera dina anställdas integritet
Om du för närvarande använder verktyg eller teknik för att övervaka dina distansarbetares produktivitet, måste du överväga hur du anpassar dina goda intentioner med behovet att skydda deras integritet, säger George Harris, GDPR-konsult för DMPC Ltd(8). "[Övervakning av din personal] är svårt att motivera i ett vanligt företagsscenario", säger han.
Med GDPR-standarden är det svårt att övervaka enheterna hos en anställd (genom en keylogger eller musspårning) utan att bryta mot deras rätt till integritet. Enligt artikel 29 "Arbetsgruppen" i GDPR: "Tekniker som övervakar kommunikation kan […] ha en kylande effekt på de anställdas grundläggande rättigheter att organisera, inrätta arbetstagarmöten och kommunicera konfidentiellt (inklusive rätten att söka information)(9)."
7. Ha en handlingsplan färdig vid dataöverträdelser
"En dataöverträdelse kan innehålla allt från en sabotageattack som påverkar någons bärbara dator, till en anställd som lämnar sin arbetstelefon på tåget, till att de oavsiktligt skickar uppgifter till en grupp i kopia istället för hemlig kopia", säger James Walker, VD på Jaw Consulting UK, som specialiserat sig på cybersäkerhet, dataskydd och integritet(10).
Din första instinkt kanske är att inleda en skadekontroll, men med GDPR blir detta ännu mer brådskande. "Organisationen har 72 timmar på sig att meddela både de drabbade personerna och den berörda tillsynsmyndigheten om en uppgiftsöverträdelse, inklusive en analys av de troliga konsekvenserna av överträdelsen och de åtgärder som vidtagits eller föreslås för att mildra de negativa effekterna", säger Walker.
Kom du ihåg de där böterna på fyra procent högre upp? Det är vad som kan stå på spel om du inte överensstämmer med GDPR. "Undantaget för detta detaljerade anmälningsförfarande är om du kan bevisa att överträdelsen sannolikt inte kommer att innebära en risk för fysiska personers rättigheter och friheter", säger Walker. "Om du kan visa att du ordentligt har krypterat datan är det ett bra steg på vägen och det kan häva kravet på att även rapportera dataöverträdelsen."
Källor:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
