GDPR - Risikovurdering & IT landskab

Risikovurdering

Enhver organisation, der skal overholde EU’s generelle databeskyttelsesforordning (GDPR), skal foretage regelmæssige risikovurderinger. Dette er ikke kun fordi forordningen siger det; Det skyldes, at risikovurderinger er en væsentlig del af cybersikkerheden, og hjælper organisationer med at løse en række problemer der, hvis de bliver ukontrollerede, kan forårsage kaos.

Organisationer kan antage, at de eneste risici, de står over for, er fra cyberkriminelle, der forsøger at bryde ind i deres systemer. GDPR er imidlertid klart defineret, at data også er sårbare for utilsigtet eller ulovlig destruktion, tab eller offentliggørelse. De måder, hvorpå disse kunne ske, skal identificeres på alle stadier af datahåndteringsprocessen.

I de fleste tilfælde drager organisationer fordel af krypterings- og/eller pseudonymiseringsdata, men dette er ikke en samlet løsning. Det forhindrer ondsindede aktører i at se brud på datasikkerhed, men det gør ikke noget for at forhindre dem i at bryde organisationernes systemer, hvilket er lige så vigtigt for GPDR-overholdelse.

Som sådan skal en risikovurdering vurdere, om en organisations tekniske og organisatoriske foranstaltninger er rustede til at sikre fortrolighed, integritet, tilgængelighed og modstandsdygtighed hos data fødesystemer og -tjenester. De skal også være i stand til hurtigt at genoprette tilgængeligheden af og adgang til personlige data efter et brud på disse systemer.

 

IT Landskabet

Langt de fleste organisationer har fokuseret på overholdelse af GDPR gennem analyse og beskrivelse af databehandleraftaler, dataflow og processer. Dette er selvfølgelig en vigtig del af GDPR overholdelsen, men mange organisationer glemmer helt eller delvist, at IT Systemerne jo er fundamentet, fødekilderne og lagringen af disse data, så sikring af og overblik over disse systemer er lige så vigtig som alle andre foranstaltninger i GDPR og måske den vigtigste komponent i en risikovurdering?

Det samlede billede af IT/teknologi landskabet er afgørende for, om en organisation kan stoppe databrud og/eller sletning/udstilling af data og er i bund og grund en kendt og naturlig del af IT afdelingens opgaver og ansvar. Problemet er bare, om det forholder sig sådan?

Er der i disse GDPR tider er så meget fokus på processer, databehandleraftaler og data flows, at mange helt har glemt det vigtigste element i en risikovurdering – IT/teknologi landskabet. Et overblik over IT- systemerne, deres indbyrdes sammenhæng og integration, samt sikring af samme både mod udefra og indefra kommende trusler og menneskelige fejl.

Eftersom mange organisationer er på vej i skyen, mens de adopterer IoT, Mobilitet og mange andre teknologier kan denne opgave alligevel være stor og uoverskuelig, men ikke desto mindre altafgørende for overholdelse af GDPR.

Derfor bør organisationer hurtigst muligt sikre, at der er et overblik over IT/Teknologi landskabet (og dermed fundamentet) og løbende registrere ændringer i samme, samt opdatere risikovurderinger, disaster recovery planer og handlingsplaner.

Pretty old school – but more relevant than ever ????

 

Rapido Consult ApS har konsulenter, som har erfaring i kortlægning af IT Landskabet og som kan levere grundlaget for den efterfølgende risikovurdering som en del af GDPR.

Partner Brian Tofft udgav denne artikel på LinkedIn den 26. april 2018.

Kontakt Brian Tofft, hvis ovenstående har givet anledning til yderligere snak eller spørgsmål.

 

Comments are closed.