Det är nu mindre än ett år kvar till alla företag måste följa de nya EU-reglerna i General Data Protection Regulation (GDPR).
Reglerna träder i kraft i maj 2018 och redan nu måste företag sätta sig in i vad de innebär för dem. Detaljhandelsföretag har ofta individuppgifter som inte får spridas, enligt reglerna. Även uppgifter om anställda omfattas.
Detta är inte något som bara berör de som är säkerhetsansvariga på företag utan alla delar av företaget behöver säkerställa att de är förberedda. Det kan krävas en hel del arbete inom organisationen och testning av att allt fungerar och alla delar är på plats. Det finns flera sätt att förbereda sig på vad som händer nästa år.
Sätt er in i lagstiftningen
GDPR innebär en stor förändring gentemot företrädaren, 1995 års Data Protection Directive. Framför allt är reglerna mycket mer stringenta i fråga skyddet för den information som företag har om individer. Den viktigaste förändringen är kraven på att data ska förvaras på ett säkert sätt, väl skyddade mot intrång.
I praktiken innebär detta att många äldre säkerhetslösningar antagligen inte längre uppfyller lagen. Exempelvis kan de system som består av många olika speciallösningar som satts ihop få problem. Dessa kan ofta inte hantera den volym och automatisering som kännetecknar dagens sofistikerade attacker
Förstå företagets känsliga information om individer
För att veta om företaget följer GDPR behöver man veta om alla data är säkra i alla led, från insamling till lagring. Företag använder en stor mängd personlig information i sin dagliga verksamhet, och från och med nu kommer det behöva rapporteras när någon information om EU-medborgare av ett eller annat skäl förloras eller spridits.
Att personliga data hålls säkra är det centrala i GDPR. Företag behöver därför gå igenom alla led för att se till att denna data hela tiden processas på ett säkert sätt. Enligt GDPR måste säkerheten på företagen vara ”state of the art”. Det här innebär att alla måste gå igenom och se till att all data är skyddad på det bästa sätt som är möjligt. Detta gäller oavsett om datan finns i en applikation, molnet, nätverket, en laptop eller en jobbmobil.
Ett bra ställe att börja sin genomgång av säkerheten är de äldre system som man har. Dessa behöver gås igenom för att avgöra om de verkligen är ”state of the art”. Efter att GDPR måste de kunna hantera dagens mycket dynamiska hot. GDPR kan därför bli en bra orsak till att gå igenom säkerhetslösningarna och se till att de är framtidssäkra.
Förstärk kompetensen
IT-teamet på företaget behöver förstå och kunna hantera de nya reglerna. Hoten förändras och utvecklas ständigt, och detta kommer knappast ändras framöver. Därför behövs det välutbildade proffs för att klara att stå emot hoten. Utmaningen här är att många företag inte har rätt kompetens på plats för att förstå vilka krav de behöver kunna ställa på sin säkerhetslösning.
Om det finns kunskapsluckor så är det idag inte heller så lätt att hitta rätt kompetens, eftersom det är brist på välutbildade och erfarna säkerhetsexperter. Därför är det en bra idé att undersöka i vilken utsträckning som en ökad automatisering av säkerheten är möjlig.
Förutom IT-proffsen förutsätter GDPR också att en rad andra funktioner inblandade. Allt från ekonomer till jurister och marknadsförare. Alla måste tänka på att individers data ska skyddas. För att åstadkomma detta behövs övningar och utbildningar.
Förebyggande arbete
Enligt en studie från Ponemon Institute kostar det genomsnittliga intrånget på företags nätverk 4 miljoner dollar. 48 procent av alla intrång orsakades av brottslingar. Dessa intrång kan både orsaka finansiella förluster och varumärkesskada, vilket i förlängningen kan leda till att kunderna flyr. Enligt en undersökning som Palo Alto Networks själva genomfört har större företag i genomsnitt tre intrång per månad, och en av dessa har en kommersiell påverkan på företaget. Så att förebygga intrång är en av de viktigaste delarna av säkerhetsarbetet. GDPR gör det ännu svårare att komma undan med att bara arbeta reaktivt.
Tufft men inte omöjligt
GDPR är helt klart en strikt lagstiftning, men att följa den är inte alls omöjligt. Det är viktigt att preventivt arbete för att se till att individers data inte försvinner är något som man tänker på och förstår i hela organisationen. Det är omöjligt att följa den GDPR om inte alla avdelningar följer den. Bland annat eftersom den måste följas i samtliga applikationer, molntjänster och på medarbetarnas mobiler och laptops.
GDPR gäller alla företag som har information om människor som bor inom EU. Reglerna är så pass strikta att de bör vara en ledningsfråga, inte minst eftersom det finns en risk för kännbara böter för de som inte följer reglerna. Genom att gå igenom de aspekter jag nämnt här ovanför ska det dock vara möjligt att vara förberedd innan reglerna träder i kraft i maj nästa år.
Ola Jönsson, Sverigechef för Palo Alto Networks