Viktig GDPR‑checklista för IT

25 Augusti 2017

5 minuters läsning

Prepare your IT technology and department for one of the biggest challenges (and opportunities) for data in 2018.

Viktig GDPR‑checklista för IT (Desktop)

Den 25 maj 2018 kommer EU:s allmänna dataskyddsförordning (EU GDPR) att ersätta alla andra regler om dataskydd inom Europa. Med den följer risken för dryga böter: upp till 20 miljoner euro eller 4 % av organisationens sammanlagda omsättning, beroende på vilken som är högst. Nederländerna har redan infört GDPR med lagen om anmälan av brott som trädde i kraft den 1 januari 2016.

GDPR innebär två saker. Den skyddar datarättigheterna för EU:s medborgare och skyddar deras integritet, dvs. deras personuppgifter. Alla som bedriver affärsverksamhet på den inre marknaden måste följa den. Den omfattar även företag utanför EU som gör affärer med kunder inom EU.

Det sistnämnda är otvivelaktigt inom IT:s ansvarsområde. Men det finns stora överlappningar. Robust slutpunktssäkerhet i flera lager för att skydda data, vilken fungerar på nätverks-, enhets- samt användarnivå, gör mycket för att skydda de tillhörande rättigheterna.

Det finns inga enkla knep för internetsäkerheten. Ett robust försvar måste byggas på ett angreppssätt med hänsyn till många faktorer innefattande nätverk, enheter och människor. Hos HP är vår policy att utveckla säkerhetsfunktionerna före allt annat i varje ny lösning, tjänst eller produkt som vi tar fram. Säkerhet genom design innebär att produkterna skapas utifrån hur de kan integreras säkert i våra kunders nätverk.

När de enheter du använder har förstärkts med både in- och utvändig säkerhet är det också enklare att hålla din data säker. Med hårdvara från HP och Microsofts senaste, säkraste operativsystem kommer du att ha större möjligheter att hålla dina enheter säkra – Windows 10 Pro betyder affärer på allvar.

Vårt sätt att samla in, lagra och använda måste också förändras. Som exempel kan nämnas rätten att glömmas bort, som tvingar organisationer att radera alla uppgifter om en EU‑medborgare, inklusive alla kopior, om medborgaren begär det. Detta kräver en omfattande datakarta som innefattar vilka data som lagrats, var de lagrats och vem som har tillgång till dem. Detsamma kan sägas om cybersäkerhet.

Med detta i åtanke, följer här 10 viktiga åtgärder du behöver vidta innan tidsfristens utgång i maj 2018.

Fas ett: Granska din situation

Det första steget är att bedöma din situation. Genom att få en realistisk bild av din nuvarande status, vet du hur mycket du behöver ändra för att efterleva kraven.

1. Granska din data

Kontrollera att du vet var all information finns, vilka som har tillgång till den och på vilka enheter

2. Granska dina servicepartner

Se till att varje servicepartner – molnlagring, SaaS osv. – som har tillgång till din data också följer GDPR, eller är under en officiellt sanktionerad datajurisdiktion

3. Granska alla auktoriserade och icke-auktoriserade enheter med åtkomst till personuppgifter

Kontrollera att du vet varenda enhet som har tillgång till persondata – officiellt sanktionerade eller inte

Fas två: Åtkomstkontroll

Den andra fasen är att kontrollera åtkomst till företagets data, dvs. att hålla reda på vem som har åtkomst och förhindra att en enda överträdelse ger tillgång till allt.

1. Försäkra dig om administrativ behörighetskontroll

Kontrollera att administrativa åtgärder endast kan vidtas av ett fåtal utvalda, för att minimera risken för att andra får kontroll över nätverket

2. Försäkra dig om differentierad åtkomst till persondata

Kontrollera åtkomsten till data på basis av behov av att veta. Detta bör baseras på från vilken användare, enhet eller nätverk begäran kommer ifrån

3. Säkerställ fjärråtkomst och raderingsrättigheter för företagsdata

Kontrollera att du kan hämta och radera data från alla enheter med tillgång till persondata, särskilt vid förekomst av förlust eller stöld

Fas tre: Säkerhet i lager

Den sista fasen är att genomföra robust säkerhet för att upptäcka och reagera på överträdelser. Förebyggande åtgärder är idealiska men orealistiska. Kom ihåg att det inte finns några snabba och enkla sätt att öka cybersäkerheten. HP rekommenderar en försvarspolicy med flera skikt, vilket ger en sammanhängande och väl genomtänkt strategi till den ständigt föränderliga cybersäkerheten.

1. Investera i nya, säkrare enheter om nödvändigt

Biometrisk multifaktorautentisering, Bluetooth-lås, insynsskydd och en självläkande BIOS (världsnyhet från HP) hjälper alla till att skydda data på enhetsnivå – hårdvara och programvara som samarbetar ger mer sammanhängande täckning och de senaste säkerhetsfunktionerna, såsom HP-enheter med Windows 10 Pro.

2. Inför en policy för regelbundna genomsökningar och uppdateringar av säkerhetsprogram

Traditionella nätverksförsvar – antivirus, antimalware och brandvägg – kanske inte är idiotsäkra men de är fortfarande viktiga. Regelbundna uppdateringar är avgörande

3. Inför realtidsdetektering och responsprogramvara

Säkra din slutpunkter med praktisk respons i realtid, t.ex. karantän eller avsluta processer och enheter. Inkludera ett verktyg för Security Information and Event Management (SIEM)

4. Genomför personalutbildning i cybersäkerhet

58 % av cyberhoten kommer från insiderförsummelse eller illvilja. Genomför aktiv träning för att förebygga grundläggande misstag som att öppna okända bilagor

Förutom arbetet med att öka säkerheten, hjälper dessa åtgärder till att uppnå efterlevnad av följande viktiga bestämmelser i GDPR:

  • Rapportera dataöverträdelser inom 72 timmar, och visa tillbörlig aktsamhet för att förebygga dem

  • Rätten att glömmas bort: Radera alla EU-medborgares persondata på deras begäran

  • Flyttbarhet av data: Förse alla persondata för en EU‑medborgare i ett format tillgängligt för dem

  • Internationella överföringar: Säkerställ att data endast överförs till andra organisationer som följer GDPR eller inom de jurisdiktioner som anses ”adekvata”

Hos HP har säkerheten en central plats i vår produktdesign – vi börjar med de bästa säkerhetsmetoderna innan enheten byggs. Säkerheten kommer först. Det är anledningen till att vår HP EliteBook x360 med Windows 10 Pro förtjänade utmärkelsen den säkraste omvandlingsbara företagsdatorn*. Vi vet att nu, mer än någonsin, måste säkerhet komma först, inte som ett tillägg. Det har varit HP:s policy under många år.

Om du behöver hjälp med att förenkla ditt säkerhetsutbud rekommenderar vi att du överväger HP:s Device as a Service. Denna tjänst omfattar en modern konsumtionsmodell som utrustar medarbetare med rätt hårdvara och de rätta tillbehören, programvara som Windows 10 Pro, livscykeltjänster samt support och säkerhet i ett och samma utbud. Den är ett enklare sätt att hålla dig uppdaterad och säker.

*Bästa säkerheten, baserat på HP:s unika och omfattande säkerhetsfunktion utan extra kostnader, för leverantörer med en årlig omsättning på över 1 miljon den 1 december 2016 på HP Elite-datorer med Intel 7th Gen Intel® Core™-processorer, Intel®-integrerad grafik och Intel® WLAN. Tunnast baserat på jämförelse med konkurrenter med över 1 miljon enheter per år av konvertibla datorer utan avtagbar skärm, med Windows Pro OS och 6:e eller 7:e generationens Intel® vPro™-processorer från den 1 december 2016.