Kjenn og beskytt dine data

16.11.2021 | Fagartikler

Data blir lagret over alt; lokalt på ulike enheter som pc, telefon eller nettbrett, i SharePoint, på OneDrive, Teams/Slack, på en filserver, Google Drive, Box og så videre - listen er lang. De færreste av oss kan med hånden på hjertet si at vi har en komplett oversikt over hvor all vår data er og hvilke data som ligger der. Vet du hvor dine data er? Hvem som eier dine data? Hvilke typer data du har? Og sist, men ikke minst, hvorfor utgjør det en risiko å ikke vite dette

Forfatter:

Owe Imerslund-Kvisler

[email protected]

Owe fremheves av bransjekolleger som en trivelig fyr med høy arbeidsmoral og sterk fagkompetanse. Han er rolig av natur og lar seg ikke stresse. Dette til tross for at han trives best utenfor komfortsonen. Han er nærmest lidenskapelig opptatt av at brukeropplevelsene skal være best mulig i IT-miljøene. Det innebærer at tjenester er enkle å bruke, at ting alltid er gjenkjennbare, og at sikkerheten er håndhevet på den mest fornuftige måten.

Data 

Ifølge en rapport fra International Data Corporation (IDC) ble det laget og kopiert 64 zettabyte (ZB) med data på verdensbasis i 2020 og dette tallet øker for hvert eneste år. 64 ZB sier deg kanskje ikke så mye, så jeg skal forsøke å forklare det. Hvis du har en mobiltelefon med 256 GB lagring på, og denne telefonen representerer en murstein, og man bygger en kinesisk mur (ca 3.873.000.000 murstein) med f.eks. iPhone 13 256GB er dette omtrent samme mengde data som i 1 zettabyte. I 2020 utgjorde altså dette 64 kinesiske murer. 

Regulering 

Samtidig som mengden data vi produserer øker, øker også reguleringene om hvordan data skal behandles, lagres og slettes. En av disse reguleringene er personopplysningsloven. Denne består av nasjonale regler og EUs personvernforordning (GDPR).

Personopplysningsloven handler om behandling – altså innsamling og bruk – av personopplysninger. Reglene gir virksomhetene en rekke plikter samtidig som den gir enkeltpersoner, ofte kalt registrerte, en rekke rettigheter. Loven gjelder stort sett alle virksomheter, men det finnes situasjoner der loven ikke gjelder.

Ifølge denne artikkelen er Norge på toppen i Europa når det gjelder å bøtelegge brudd på GDPR. I snitt er bøtene på 700.000 NOK.

Informasjonsbeskyttelse 

Vi kan ikke lenger stole kun på tradisjonell sikring av lokasjonene hvor vi lagrer data. Vi må beskytte selve dataene og beskyttelsen må følge dataene ved flytting. Hvordan gjør vi det? 

Det smarteste er å etablere et system for informasjonsbeskyttelse. Det å innføre et system for informasjonsbeskyttelse hjelper organisasjonen med å håndtere livssyklusen til informasjon og data. Livssyklusen involverer mennesker, prosesser og teknologi.  

Det å iverksette informasjonsbeskyttelse involverer hele organisasjonen. Ledelsen, sammen med de som kan jussen om reguleringer, vet hvem som eier dataene du har og klassifiserer denne. De ansatte vet hva slags type data de jobber med, og de vet (som oftest) hvor denne er lagret. 

Jeg  brenner for involvering av brukere. De har verdifulle tanker om hvordan deres hverdag kan gjøres bedre og hva slags informasjon og data de jobber med. Typisk vil 60-80% av prosjektet med å iverksette informasjonsbeskyttelse være å jobbe med brukerne. De må også gjøres i stand til å ta enkle og informerte valg om hvordan dataen de jobber med skal klassifiseres. 

Etikettene som vi gir til brukerne for å klassifisere data må være enkle og forstå slik at brukerne forstår når de skal velge den ene eller den andre og hva det innebærer. Informasjonen i hjelpeteksten som vises i bildet under er et eksempel for hvordan man informerer brukerne. 

I andre tilfeller kan vi la systemet selv klassifisere data ved at vi lærer teknologien hva, som for oss, er sensitive data og lar teknologien automatisk klassifisere dataen. 

 Etikettene følger dataene uansett hvor de blir opprettet og hvor de blir kopiert eller sendt. Etikettene inneholder informasjon om hva som er lov til å gjøre med dataen. Om det er lov til å dele den med andre utenfor organisasjonen, om det er lov til å skrive ut og i noen tilfeller hvor lenge dataen skal leve i henhold til reguleringer. 

Oppsummert

Ved å iverksette et system for informasjonsbeskyttelse kan du dermed få svaret på spørsmålene du hadde når du startet å lese denne artikkelen. Du får kontroll på, og kan hindre, både intensjonelle og ikke intensjonelle, datalekkasjer. Center for Internet Security (CIS) definerer informasjonsbeskyttelse som et prioritert punkt, nummer 3, i sin liste med 18 retningslinjer for beste praksis innenfor IT-sikkerhet.

Så – vil det å innføre informasjonsbeskyttelse hjelpe deg med å vite hva de som du delte en fil med kan gjøre med den og om du delte for mye? Svaret er, ja, dersom organisasjonen var flinke når de implementerte informasjonsbeskyttelse og ga deg informative etiketter og satte dette sammen med klassifisering av data basert på lover og reguleringer sammen med organisasjonens egen praksis.

Til slutt..

Er du fortsatt litt usikker så kommer det her et lite tips. I Windows Utforsker kan du enkelt se om en fil er delt med andre. Det som derimot ikke vises, er hvem den er delt med og hva de kan gjøre med den. Det kan du enklere se i web-versjonen av OneDrive. Se bildene under.