<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Vet du hvem som eier dataene dine? ...og hvordan sikrer du dem?

Picture1.jpg ‹ Tilbake til artikler

Picture1.jpg

Digitale endringer er ikke en trend, det er en realitet du må forholde deg til i overskuelig framtid. Teknologi i lynrask utvikling endrer spillereglene, og ingen bransjer slipper unna. Alt vil bli omdefinert og endret. Sikkerhetstrusler øker i både omfang og styrke. Tradisjonell sikring med brannmur og områdesikring, såkalt perimetersikring, av nettverket er ikke lenger tilstrekkelig for å beskytte dine kritiske data i en verden dominert av mobilitet, skytjenester og samhandling. Så hva skal en stakkar gjøre?

Foruroligende statistikk

Undersøkelser viser at over 80% av data i en virksomhet er ustrukturerte data. Dette er data som ikke befinner seg i en applikasjon, men data vi produserer i form av filer og dokumenter som for eksempel pdf, tekstfiler, regneark, presentasjoner, epost og bilder. Data vi produserer daglig. Dine verdifulle data er et angrepsmål, og hendelser de siste årene viser at spørsmålet ikke lenger er om du blir angrepet, men når. Skurkene har sakte men sikkert endret sine angrep over mot det svakeste leddet i sikkerhetslenken, den menneskelige faktoren - brukerne og deres identiteter. Alle har et søskenbarn på Gjøvik. Alle har en brukerid eller flere. Disse identitetene brukes for å nå virksomhetsdata. En undersøkelse fra Ponemon Institute viser at så mange som 67% av medarbeidere som jobber med IT har opplevd tap eller tyveri av selskapsdata de siste årene. Skal du beskytte viktige data må du sikre og håndtere brukerne og tilganger. Men det forutsetter at du vet hvem hvem som er eier av dataene.

Forvaltning av ustrukturerte data er et voksende problem

Statistikk viser at volumet av ustrukturerte data vokser eksponensielt. Undersøkelsen fra Ponemon Institutes viser at så mye som 93% av organisasjonene ikke vet hvor deres ustrukturerte data befinner seg, og at 64% av organisasjonene ikke vet hvor sensitive data er lagret.

Fåtallet av selskaper har kontroll over tilgangen til sensitiv informasjon. En undersøkelse utført av Forbes viser at 76% av organisasjoner opplever det som utfordrende å kontrollere tilgang til sensitive data. Undersøkelsen fra Ponemon Institutes bekrefter dette. Hele 71% av brukerne forteller at de har tilgang til informasjon de ikke burde se.

De fleste bedrifter er vant til å tildele eierskap til strukturerte applikasjoner, som for eksempel SAP. Og det er som regel enkelt å beslutte eierskap. Eieren overvåker typisk applikasjonen og forvalter hvem som skal ha tilgang til hva. Men med ustrukturerte data følger det med noen krevende utfordringer. Dataene er som regel ikke lagret etter normale regler, og har ofte ikke en identifiserbar eier som forvalter tilgang. Håndteringen av data er i stedet overlatt til brukerne, som enten oppretter eller bruker dataene.

Dette komplisereres ytterligere ved at vi ofte lagrer sensitiv informasjon som bør beskyttes sammen med informasjon som ikke er sensitiv. PDF-filer i skylagringstjenester kan inneholde ufarlige notater om julefesten, eller de kan inneholde sensitive personopplysninger. Eposter kan inneholde ønske om god bedring til en syk kollega, eller de kan inneholde børssensitiv, ikke publisert informasjon om resultatene for siste kvartal.

I sum medfører dette at sikring av sensitive data blir en stadig mer krevende oppgave.

Utnevn eierskap til data

For at data i en virksomhet skal være beskyttet, må tilgang forvaltes. Uten en definert dataeier kan ustrukturerte data som er sensitive lett bli oversett, bli uriktig klassifisert, eller feilaktig håndtert angående hvem som skal ha tilgang. Virksomheter som feiler med å ansvarliggjøre dataeiere og styre hvem som faktisk har tilgang til sensitive data, utsetter seg for sikkerhetsbrudd og risikerer straff og bøter.

En vanlig tilnærming er å bestemme eierskap til data basert på bruken av dem. For ustrukturerte data medfører dette ofte flere problemer enn løsninger. Se for deg en medarbeider som lager en teknisk tegning for et nytt produktdesign, og deretter lagrer tegningen på en skylagringstjeneste for å forenkle distribusjonen. Med tidligere verktøy ville denne medarbeideren trolig blitt eier av filene. Men vedkommende vet ikke nødvendigvis hvem som burde ha tilgang til dataene eller de andre filene som ligger i den samme katalogen. Mest sannsynlig bør medarbeiderens faglige leder være den som er eier av dataene og forvalter tilgang, selv om denne lederen kanskje åpner filene sjeldnere enn det opprinnelige teammedlemmet.

Så hva er løsningen? I stedet for å starte med å utarbeide regler som automatisk utpeker dataeiere, spør heller de som jevnlig jobber med dataene om å være dine øyne og ører. De som jobber tettest på informasjonen kan best bidra til å identifisere hvem som vil være den mest riktige eieren. Gjør det mulig for forretningsbrukere å gi direkte tilbakemeldinger på eierskap, eller velger en eier for sensitive data.

Når mengden av ustrukturerte data i organisasjon vokser, øker også kompleksiteten med å sørge for at de riktige brukerne har riktig tilgang. Innsidetrusler som misbruk og feilhåndtering er like aktuelle som eksterne aktører som prøver å få tak i dataene dine. Mens automatiseringsmetoder for å finne, kategorisere og kontrollere tilgang til data kan være en god start for å håndtere risiko, er det til syvende og sist kun evnen til å identifisere riktige forretningseiere for dine ustrukturerte data som er den eneste måten å virkelig beskytte dataene. Når dette er gjort, er det riktig å se på hvordan teknologi kan hjelpe til med å forvalte tilgang til sensitiv informasjon på en effektiv og lønnsom måte.

Det er dine data. Det er en så å si umulig oppgave å beskytte dataene dine dersom du ikke vet hvor den sensitive informasjonen er lagret, hvem som er ansvarlige for dataene, hvem som har tilgang, og hva de som har tilgang gjør med tilgangen. Ta grep mens du fortsatt har en mulighet!

Dette blogginnlegget er skrevet av Ronny Stavem.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Prosessen med å utvikle et helhetlig risikobilde – Politikk, følelser og kampen om knappe ressurser

Den som har deltatt i en prosess for å utvikle et overordnet og helhetlig risikobilde for virksomheten vet at det kan bli opphetet stemning ...

Les artikkelen
Les artikkelen

Risiko - bare negativt?

Etter selv å ha arbeidet med sikkerhetsfaglige problemstillinger og dermed sett på risiko som noe utelukkende negativt, var det uvant å ...

Les artikkelen
Les artikkelen

Årets styrebok er klar - norske styrer må sette bærekraft på agendaen

Omfanget av styrearbeidet og måten et styre jobber er i endring. Utvikling i teknologi, cyber-trusler og nye forretningsmodeller gjør at ...

Les artikkelen