2017-04-28

Hur kan jag skydda mina viktigaste tillgångar?

Ett gästspel från vår nye verksamhetschef på Informationssäkerhet, Carl-Magnus Brandt. Acceptera att du kan bli utsatt för intrång och återta kontrollen!

För företag och organisationer har deras viktigaste data blivit en handelsvara, inte bara för dem själva utan även för kriminella aktörer. Historiskt har man alltid försökt förebygga intrång med flera lager av skydd enligt lökprincipen men trots detta sker intrång även för de största aktörerna som ex Yahoo (Yahoo data breach) och CIA (vault 7).

Vad kan vi dra för lärdomar av detta? Allt kan inte skyddas så börja prioritera din viktigaste data.

Acceptera att du kan bli utsatt för intrång och återta kontrollen.

Detta är en princip som kallas ”säkert intrång” eller ”secure breach”. 

Jag ska ge mig på en liknelse; tänk dig ett företag som flyttar kontanter från A till B, deras vision är att aldrig bli utsatta för ett rån, men de kan inte påverka hela kedjan utan bara det som finns inom deras område. Om nu någon skulle försöka genomföra ett rån mot företaget har de vidtagit ett antal försvårande/skyddande åtgärder för att minska möjligheten att lyckas; GPS-sändare på fordonen, intrångsskydd, alltid två i bilen, säkerhetsväskor med sedelfärg mm. De har alltså ställt in sig på att de i värsta fall kan bli rånade och därför har dessa åtgärder tagits fram. De har accepterat risken att bli utsatta för ett rån och vidtagit motåtgärder.

 

Var börjar jag?

Vad är då din viktigaste data? Dina ”kronjuveler” enligt (Information Security forum) är de som är kritiska för din verksamhet eller som vid en förlust kan kosta dig både förtroende och/eller pengar och i värsta fall äventyra din verksamhet.

För att veta vad som ska skyddas behöver du först identifiera din data;

  • Vad är kritiskt data för din verksamhet, dina ”kronjuveler”
  • Bedöma vilka hot som kan tänkas finnas mot just ”kronjuvelerna”
  • Bestämma den mest lämpliga metoden att skydda dina ”kronjuveler”
  • Tillämpa ett tillvägagångssätt som säkerställer ett övergripande och balanserat skydd efter hur viktiga data är för din verksamhet, detta är dina skyddskontroller.

Du har nu prioriterat och accepterat allt inte kan få ditt bästa skydd, utan bara det som verkligen är värt att skydda ska ges det bästa skyddet. Behåll din data för dig själv och gör den oanvändbar för utomstående.

 

Denna princip går att använda oavsett vilken data du har i din verksamhet, skyddskontrollerna gör inte skillnad på om det är affärsdata eller personliga uppgifter enligt exempelvis GDPR.