Sticos Fagstoff

Slik får din virksomhet bedre informasjonssikkerhet

Slik får din virksomhet bedre informasjonssikkerhet

En av fire norske virksomheter tror at de er nærmest immune mot dataangrep. Det er skremmende lesing. Dette kan din virksomhet gjøre for å få bedre informasjonssikkerhet. 

Gry Anita Langsæther, rådgiver i Sticos

Etter personvernforordningen plikter behandlingsansvarlige og databehandlere å sørge for tilfredsstillende informasjonssikkerhet. Et viktig ledd i informasjonssikkerheten er å sikre at personopplysninger ikke kommer på avveie.  

Ifølge en undersøkelse fra NorSIS tror så mange som én av fire norske virksomheter at de er nærmest immune mot dataangrep. Det er særlig små virksomheter som er utsatt for datakriminalitet. Det er skremmende lesing nå som veldig mange norske arbeidstakere sitter på hjemmekontor.  

I denne artikkelen gir vi noen konkrete tips til hvordan din virksomhet kan få en bedre informasjonssikkerhet. 

Krav om tilstrekkelig informasjonssikkerhet 

Informasjonssikkerhet handler om å håndtere risikoen for at personopplysninger blir ivaretatt på en tilfredsstillende måte, og sikre opplysningenes konfidensialitet, integritet og tilgjengelighet. I dette ligger et krav om at virksomheten må sørge for at uvedkommende ikke får tilgang til personopplysningene, at virksomhetene sørger for at uvedkommende ikke får endret på opplysningene og de er tilgjengelig når virksomheten trenger dem.  

Ledere må ha et bevisst forhold til informasjonssikkerhet  

Norge ligger langt framme når det gjelder informasjonssikkerhet, men vår erfaring er at det sviktes mye på dette feltet i mange norske virksomheter.  

Det er viktig at ledere har et bevisst forhold til informasjonssikkerhet. En forutsetning for å lykkes er at det gjøres en god risikoanalyse. Sticos har bistått mange virksomheter med slike risikovurderinger. På informasjonssikkerhetsområdet ser vi særlig tre tilfeller som går igjen; manglende tilgangskontroll, virksomheter som ikke sender personopplysninger på en sikker måte og at mange arbeidstakere har manglende bevissthet om bruk av sikkert passord.  

Krav om kryptering for visse typer personopplysninger 

Krav til tilfredsstillende informasjonssikkerhet medfører at det er nødvendig med sterk autentisering når en person har tilgang til et informasjonssystem med sensitive personopplysninger og/eller personopplysninger om mange over eksterne nett. Dersom uvedkommende klarer å skaffe seg et brukernavn og passord, vil det være mulig å logge seg på informasjonssystemet.  

Med sterk autentisering menes for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS, i tillegg til brukernavn og passord. Eksempelvis bør virksomheter bruke fjernarbeidsløsning med sterk autentisering.  

Personopplysninger på e-post 

E-post er i utgangspunktet ikke kryptert, slik at uvedkommende kan lese innholdet og få tilgang til personopplysninger. I tillegg er det en nærliggende risiko for at e-poster feilsendes, slik at personopplysninger kommer på avveie.  

GDPR oppstiller ikke et generelt forbud mot å sende personopplysninger per e-post, men det kreves tilstrekkelig informasjonssikkerhet. Dette innebærer at visse opplysninger må krypteres hvis de sendes på e-post, slik som særlige kategorier av personopplysninger (sensitive personopplysninger) og fødselsnummer.  

Når det gjelder å sende personopplysninger på e-post, er det særlig et praktisk tilfelle man bør være oppmerksom på. Når man sender en e-post der flere e-postmottakere er synlig i mottaker- eller kopifeltet innebærer er dette en utlevering av personopplysninger. Vi anbefaler derfor at blindkopi benyttes i de tilfellene der det ikke er nødvendig at mottakeren ser hvem de andre mottakerne er.  

For å minimere risikoen for datainnbrudd og medfølgende overtredelser av GDPR-regelverket bør arbeidsgivere oppfordre arbeidstakere om ikke å benytte e-post til privat bruk. 

Tips til sikkert passord  

Mange norske arbeidstakere bruker passord som er lett å gjette og som gjør virksomhetene sårbare for datainnbrudd.  

Nettstedet «Howsecureismypassword» gir deg en antydning på hvor sikkert passordet ditt er. Ifølge nettstedet tar det tusen år for en datamaskin å avsløre passordet «jeglikerfotball». Passordet «rosenborg» tar det derimot bare to minutter å avsløre.  

Her er noen tips for et sikkert passord:   

  • Bruk hele setninger som passord fremfor ord og tall. 

  • Ikke bruk navn på familiemedlemmer eller husdyr. 

  • Gjerne benytt spesialtegn i passordet. 

  • Skift passord hvert kvartal. 

  • Ikke bruk det samme passordet overalt. 

Tilgangskontroll 

Et viktig ledd i informasjonssikkerheten er at det kun er medarbeidere i virksomheten som har et tjenstlig behov for personopplysningene som skal ha tilgang til disse. Det betyr at medarbeidere som ikke har en saklig grunn til å se opplysningene, heller ikke skal ha tilgang.  

Flere virksomheter har roligere dager på grunn av korona. Jeg anbefaler at ledere bruker denne tiden til å gå gjennom tilganger i systemer, samt sette i verk tiltak for å sikre informasjonssikkerhet i virksomheten, slik som å gå til anskaffelse av tekniske løsninger som støtter dette. Sist, men ikke minst bør ledere ha søkelys på å utarbeide rutiner for informasjonssikkerhet og gi informasjon og opplæring om datasikkerhet til ansatte.   

Lykke til!

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på FacebookLinkedIn og meld deg på vårt nyhetsbrev.

Print

Navn:
E-post:
Emne:
Din melding:
x

Sticos holder deg oppdatert: