Trace Id is missing
Gå til hovedindholdet
Microsoft Security

Hvad er datasikkerhed?

Databeskyttelse består i at vide, hvilke data du har, hvor de befinder sig og identificering af risici for dine data. Lær, hvordan du beskytter dine data.

Definition af databeskyttelse

Databeskyttelse hjælper dig med at beskytte følsomme data i hele livscyklussen, forstå konteksten af brugeraktivitet og data og forhindre uautoriseret brug eller tab af data.

Vigtigheden af databeskyttelse kan ikke overdrives i denne tid med stigende trusler mod cybersikkerheden og insidertrusler. Det er nødvendigt for at få synlighed i de typer data, du har, forhindre uautoriseret brug af data og identificere og afhjælpe risici omkring dataene. Kombineret med databeskyttelse guider databeskyttelsesadministration din organisation i planlægningen, organiseringen og styringen af databeskyttelsesaktiviteter ved at bruge velskrevne politikker og procedurer.

Typer af databeskyttelse

For at databeskyttelse skal være effektivt, skal det kunne kortlægge følsomhed af datasæt og din organisations krav for overholdelse. De typer af databeskyttelse, der hjælper dig med at beskytte mod et databrud, leve op til lovgivningsmæssige krav og forhindre skade af dit omdømme, omfatter:

  • Adgangskontrol, der styrer adgang til data i det lokale miljø og skybaseret data.
  • Godkendelse af brugere vha. adgangskoder, adgangskort eller biometriske data.
  • Sikkerhedskopier og genoprettelse til at muliggøre adgang til data efter et systemnedbrud, beskadigelse af data eller katastrofe.
  • Datarobusthed som en proaktiv tilgang til it-katastrofeberedskab og opretholdelse af driften.
  • Datasletning for at slette data fuldstændigt, så de ikke kan genoprettes.
  • Datamaskeringssoftware, der bruger proxytegn til at skjule bogstaver og tal for uautoriserede brugere.
  • Løsninger til forebyggelse af datatab for at beskytte mod uautoriseret brug af følsomme data.
  • Kryptering for at gøre filer ulæselige for uautoriserede brugere.
  • Beskyttelse af oplysninger for at hjælpe med at klassificere følsomme data, der findes i filer og dokumenter.
  • Styring af insider-risiko for at forhindre risikabel brugeraktivitet.

Datatyper, der bør beskyttes

Alle, der har prøvet at få deres kreditkort kompromitteret eller deres identitet stjålet, har en dyb værdsættelse af effektiv databeskyttelse. Ondsindede hackere finder hele tiden på måder at stjæle personlige oplysninger og bede om en løsesum eller begå yderligere svindel. Derudover skyldes databrud ofte nuværende eller tidligere ansatte, hvilket gør styring af insider-risiko en nødvendighed for organisationer.

Alle brancher har forskellige krav om, hvad der skal beskyttes, og hvordan det skal beskyttes, men fælles typer data, man bør beskytte, omfatter:

  • Private oplysninger om dine medarbejdere og kunder.
  • Finansielle data såsom kreditkortnumre, bankoplysninger og fortegnelser over virksomhedsøkonomien.
  • Helbredsoplysninger såsom modtagne tjenester, diagnoser og testresultater.
  • Immaterielle rettigheder såsom forretningshemmeligheder og patenter.
  • Data om driften af virksomheden såsom oplysninger om forsyningskæde og produktionsprocesser.

Trusler mod databeskyttelse

På arbejde og hjemme giver internettet dig adgang til konti, kommunikationsmetoder og måder at dele og bruge oplysninger. Mange slags cyberangreb og insiderrisici kan gøre de oplysninger, du deler, sårbare.

  • Hacking

    Hacking er ethvert forsøg på med en computer at stjæle data, ødelægge netværk eller filer, overtage en organisations digitale miljø eller forstyrre deres data og aktiviteter. Hackingmetoder omfatter phishing, malware, ødelæggelse af kode og DDoS-angreb.

  • Malware

    Malware dækker over orme, virusser og spyware, der gør det muligt for uautoriserede brugere at tilgå dit miljø. Når først disse personer har tiltusket sig adgang, kan de potentielt afbryde dit it-netværk og slutpunktsenheder eller stjæle legitimationsoplysninger, der ligger i jeres filer.

  • Ransomware

    Ransomware er malware, der forhindrer adgang til dit netværk og filer, indtil du betaler en løsesum. Åbning af en vedhæftet fil i en mail og klikke på en annonce er blot nogle af de måder, som ransomware kan blive downloadet på din computer. Det opdages typisk, når du ikke kan få adgang til dine filer, eller når du ser en besked, der beder dig om en betaling.

  • Phishing

    Phishing består i at snyde personer eller organisationer til at oplyse ting som kreditkortnumre og adgangskoder. Formålet er at stjæle eller beskadige følsomme data ved at foregive at være en virksomhed med et godt omdømme, som offeret er bekendt med.

  • Datalækage

    Datalækage er en tilsigtet eller utilsigtet overførsel af data fra en organisation til en ekstern modtager. Dette kan foregå ved at bruge mail, internettet og enheder såsom bærbare computere og bærbare lagerenheder. Filer og dokumenter, der fjernes fra lokationen, er også en type datalækage. 

  • Uagtsomhed

    Uagtsomhed er, når en medarbejder forsætligt bryder en sikkerhedspolitik, men ikke prøver at skade virksomheden. F.eks. kan vedkommende dele følsomme data med en kollega, som ikke har adgang, eller logge ind på virksomhedsressourcer via en ubeskyttet trådløs forbindelse. Et andet eksempel kunne være at give en person lov til at gå ind i bygningen uden at vise identifikation.

  • Svindel

    Svindel begås af teknisk kapable brugere, som vil udnytte onlineanonymiteten og tilgængelighed i realtid. Vedkommende kan f.eks. oprette transaktioner via kompromitterede konti og stjålne kreditkortnumre. Organisationer kan blive udsat for garantisvindel, refusionssvindel eller forhandlersvindel.

  • Tyveri

    Tyveri er en insidertrussel, der resulterer i stjålne data, penge eller immaterielle rettigheder. Det gøres for personlig vinding og for at skade organisationen. En leverandør, man har tillid til, kan f.eks. sælge kunders cpr-numre på det mørke internet eller bruger insideroplysninger om kunder til at starte sin egen virksomhed.

Teknologier til databeskyttelse

Teknologier til databeskyttelse er vigtige komponenter for at få en mere dækkende databeskyttelsesstrategi. Forskellige løsninger til forebyggelse af datatab er tilgængelige for at hjælpe dig med at registrere intern eller ekstern aktivitet, markere mistænkelig eller risikabel datadelingsadfærd og styre adgang til følsomme data. Implementer databeskyttelsesteknologier som disse for at hjælpe med at undgå, at der udtrækkes følsomme data.

Datakryptering. Brug kryptering – der konverterer data til kode – på data, der er i stilstand eller i bevægelse, for at undgå uautoriserede brugere i at se filindhold – også selvom de får adgang til dataenes placering.

Brugergodkendelse og -autorisation. Godkend legitimationsoplysninger for brugere og bekræfte, at adgangstilladelser er tildelt og anvendt korrekt. Rollebaseret adgangskontrol hjælper din organisation med kun at give adgang til dem, der har brug for det.

Registrering af insider-risiko. Identificer aktiviteter, der kan indikere insiderrisiko eller trusler. Forstå konteksten af dataforbrug, og vid, hvornår visse downloads, mails uden for din organisation og omdøbte filer kunne tyde på mistænkelig adfærd.

Politikker om forebyggelse af datatab. Opret og håndhæv politikker, der definerer, hvordan data administreres og deles. Specificer autoriserede brugere, programmer og miljøer for forskellige aktiviteter for at hjælpe med at forebygge data i at blive lækket eller stjålet.

Sikkerhedskopi af data. Sikkerhedskopiér en eksakt kopi af din organisations data, så dine autoriserede administratorer har en måde at gendanne dem, hvis der sker en lagringsfejl, en datalækage eller en katastrofe af en hvilken som helst art.

Underretninger i realtid. Automatiser underretning om potentiel datamisbrug, og modtag besked om mulige sikkerhedsfejl, før de påvirker dine data, dit omdømme eller dine medarbejderes eller kunders privatliv.

Risikovurdering. Forstå, at medarbejdere, leverandører, kontrahenter og partnere har oplysninger om dine data og sikkerhedspraksisser. For at undgå at de misbruges, er det vigtigt at vide, hvilke data du har, og hvordan de anvendes på tværs af din organisation.

Datagennemgang. Vær opmærksom på områder såsom databeskyttelse, -nøjagtighed og -tilgængelighed med løbende datagennemgange. Derved kan du få indsigt i, hvem der bruger dine data, og hvordan de bruges.

Administrationsstrategier til databeskyttelse

Strategier til administration af databeskyttelse omfatter de politikker, procedurer og den styring, der hjælper dig med at beskytte dine data.

  • Implementer bedste praksisser til adgangskodeadministration

    Implementer en løsning til adgangskodeadministration, der er nem at bruge. Det fjerner behovet for at bruge huskesedler og regneark og gør, at medarbejderne ikke skal huske unikke adgangskoder.
    Brug adgangsudtryk i stedet for adgangskoder. Et adgangsudtryk kan være nemmere for medarbejdere at huske og sværere for cyberkriminelle at gætte.
    Aktivér tofaktorgodkendelse (2FA). Med tofaktorgodkendelse bevares logonsikkerheden – selv hvis et adgangsudtryk eller en adgangskode blev kompromitteret – da den uautoriserede bruger i så fald ikke ville kunne få adgang uden den anden kode, der leveres til den anden enhed. 
    Skift dineadgangskoder efter et brud. Hvis man skifter dem oftere, er der risiko for, at det fører til svagere adgangskoder med tiden.
    Undgå at genbruge adgangsudtryk eller adgangskoder. Når de først er blevet kompromitteret, bruges de ofte til at bryde ind på andre konti.

  • Opret en forsvarsplan

    Beskyt følsomme data. Opdag og klassificer data i stor skala for at kende til omfanget, typen og placeringen af oplysninger, uanset hvor de befinder sig i sin livscyklus.
    Administrer insiderrisici. Forstå brugeraktivitet og den tilsigtede brug af data for at identificere potentielle risikable aktiviteter, der kan føre til databeskyttelseshændelser.
    Etabler fornuftig adgangskontrol og gode politikker. Hjælp med at undgå handlinger som mangelfuld lagring, opbevaring eller udskrivning af følsomme data.

  • Brug kryptering til at beskytte data

    Datakryptering forhindrer uautoriserede brugere i at læse følsomme data. Selv hvis de får adgang til dit datamiljø eller kan se data, der overføres, er dataene ubrugelige, fordi de ikke nemt kan læses eller forstås.

  • Installér software- og sikkerhedsopdateringer

    Software- og sikkerhedsopdateringer hjælper med at adressere kendte sårbarheder, som cyberkriminelle ofte udnytter til at stjæle følsomme oplysninger. Ved at holde systemerne opdaterede hjælper man med at adressere disse sårbarheder og forhindrer, at dine systemer kompromitteres.

  • Oplær medarbejdere i databeskyttelse

    Det er ikke kun din it-afdeling, der står for at beskytte din organisations data. Du skal også oplære dine medarbejdere i at være opmærksomme på dataafsløring, -tyveri og -ødelæggelse. De bedste praksisser for databeskyttelse er relevante for data, der er online, eller som er udskrevet. Formel oplæring bør ske regelmæssigt, hvad end det er hvert kvartal, halvårligt eller årligt.

  • Implementer sikkerhedsprotokoller til fjernarbejde

    Hvis du vil implementere sikkerhedsprotokoller til din fjernarbejdsstyrke, bør du starte med at fastlægge dine politikker og procedurer. Dette omfatter typisk obligatorisk oplæring i sikkerhed og i at fortælle, hvilke softwareprogrammer man må bruge, og hvordan de skal bruges. Protokollerne bør også inkludere en proces til at beskytte alle de enheder, dine medarbejdere bruger.

Lovgivning og overholdelse

Organisationer skal overholde de relevante databeskyttelsesstandarder, -love og -bestemmelser. De omfatter, men er ikke begrænset til, kun at indsamle de oplysninger, du skal bruge fra kunder eller medarbejdere, at hjælpe med at beskytte disse oplysninger og bortskaffe dem korrekt. Eksempler på lovgivning om beskyttelse af personlige oplysninger er GDPR (Generel forordning om databeskyttelse), HIPAA (Health Insurance Portability and Accountability Act) og CCPA (California Consumer Privacy Act.

GDPR er den strengeste lov om datasikkerhed og beskyttelse af personlige oplysninger. Den blev udarbejdet og stemt igennem af EU, men organisationer over hele verden er pålagt at skulle overholde den, hvis de målretter mod eller indsamler personlige oplysninger fra personer, der bor i EU, eller hvis de tilbyder varer eller tjenester til dem.

HIPAA (Health Insurance Portability and Accountability Act) hjælper med at sikre, at patienters helbredoplysninger ikke deles uden patientens viden eller samtykke. HIPAA-privatlivsreglen beskytter personlige helbredsoplysninger og blev udarbejdet for at implementere HIPAA-krav. HIPAA-sikkerhedsreglen hjælper med at beskytte identificerbare helbredsoplysninger, som en sundhedsudbyder opretter, modtager, har i sin varetægt eller overfører elektronisk.

CCPA hjælper med at sikre privatlivsrettighederne for forbrugere i Californien, herunder retten til at vide, hvilke personlige oplysninger der indsamles, og hvordan disse bruges og deles, retten til at slette personlige oplysninger fra dem og retten til at fravælge at få solgt deres personlige oplysninger.

Den ansvarlige for databeskyttelse (DPO) er en ledelsesrolle, der holder øje med overholdelse og hjælper med at sikre, at din organisation behandler personlige oplysninger i overensstemmelse med databeskyttelseslovgivningen. DPO'en fortæller og rådgiver eksempelvis overholdelsesteams om, hvordan de skal udføre overholdelse, tilbyder dem oplæring inden for organisationen og rapporterer manglende overholdelse af regler og lovgivning.

Når manglende overholdelse fører til datalækage, koster det ofte organisationer millionvis af dollars. Konsekvenserne kan være identitetstyveri, mistet produktivitet og mistede kunder.

Konklusion

Databeskyttelse og administration heraf hjælper dig med at identificere og vurdere trusler mod dine data, overholde lovgivningsmæssige krav og opretholde dataintegriteten.

Sørg for at lave sikkerhedskopier af dine data regelmæssigt, gem en kopi af din sikkerhedskopi et sted uden for det lokale miljø, opret strategier til administration af databeskyttelse, og håndhæv stærke adgangskoder eller adgangsudtryk og tofaktorgodkendelse.

Søjlerne for at skabe et stærkt forsvar i din organisation består i at beskytte data i deres livscyklus, forstå, hvordan data bruges, forhindre datalækage og oprette politikker til forebyggelse af datatab.

Lær, hvordan du beskytter dine data på tværs af skyer, apps og slutpunkter med procedurer og værktøjer til databeskyttelse.

Få mere at vide om Microsoft Security

Microsoft Purview

Udforsk løsninger til styring, beskyttelse og overholdelse af angivne standarder til din organisations data.

Få mere at vide

Hjælp med at undgå tab af data

Identificer risikabel og upassende deling eller brug af følsomme data på slutpunkter, i apps og i tjenester.

Få mere at vide

Administrer insiderrisici

Lær, hvordan du identificerer potentielle risici i de aktiviteter, dine medarbejdere og leverandører udfører.

Få mere at vide

Beskyttelse af oplysninger

Find, klassificer og beskyt dine mest følsomme data på tværs af din digitale ejendom.

Få mere at vide

Ofte stillede spørgsmål

  • Databeskyttelse hjælper med at beskytte følsomme data i hele livscyklussen, forstå konteksten af brugeraktivitet og data og forhindre uautoriseret brug af data. Det består bl.a. i at vide, hvilke data du har, hvor de er og i at identificere mulige trusler mod disse data.

  • Typer af databeskyttelse omfatter:

    • Adgangskontrol, der kræver logonoplysninger til data i det lokale miljø eller til skybaserede data.
    • Godkendelse af brugere via adgangskoder, adgangskort eller biometriske data.
    • Sikkerhedskopier og genoprettelse til at muliggøre adgang til data efter et systemnedbrud, beskadigelse af data eller katastrofe.
    • Datarobusthed som en proaktiv tilgang til it-katastrofeberedskab og opretholdelse af driften.
    • Datasletning for at bortskaffe data ordentligt og sikre, at de ikke kan gendannes.
    • Datamaskeringssoftware, der bruger proxytegn til at skjule bogstaver og tal for uautoriserede brugere.
    • Løsninger til forebyggelse af datatab for at beskytte mod uautoriseret brug af følsomme data.
    • Kryptering for at gøre filer ulæselige for uautoriserede brugere.
    • Beskyttelse af oplysninger for at hjælpe med at klassificere følsomme data, der findes i filer og dokumenter.
    • Styring af insider-risiko for at forhindre risikabel brugeraktivitet.

  • Et eksempel på databeskyttelse er at bruge teknologi til at se, hvor følsomme data befinder sig i din organisation, og vide, hvordan disse data tilgås og bruges.

  • Databeskyttelse er vigtigt, fordi det hjælper din organisation med at beskytte sig mod cyberangreb, insidertrusler og menneskelige fejl, som alle kan føre til datalækager.

  • De fire pejlemærker inden for databeskyttelse er fortrolighed, integritet, tilgængelighed og overholdelse.

Følg Microsoft 365