Trace Id is missing
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er databeskyttelse?

Lær å beskytte data uansett hvor de befinner seg, og administrerer sensitive og forretningskritiske data på tvers av miljøet ditt.

Databeskyttelse forklart

Databeskyttelse omfatter sikkerhetsstrategier og -prosesser som bidrar til å sikre sensitive data mot korrupsjon, kompromittering og tap. Tusler mot sensitive data omfatter sikkerhetsbrudd på dataene og datatap.

Datainnbrudd skyldes uautorisert tilgang til organisasjonens informasjon, nettverk eller enheter som følge av cyberangrep, innsidetrusler eller menneskelige feil. I tillegg til datatap kan organisasjonen pådra seg bøter for brudd på forskrifter, få søksmål rettet mot seg for eksponering av personopplysninger eller oppleve at varemerkets omdømme svekkes over lang tid.

Datataphendelser er tilsiktede eller utilsiktede avbrudd i den vanlige organisasjonsdriften. Bærbare datamaskiner kan bli mistet eller stjålet, programvare kan bli ødelagt, eller datavirus kan infiltrere nettverket. En god databeskyttelsesstrategi innebærer å ha en sikkerhetspolicy. De ansatte må også læres opp til å gjenkjenne trusler og vite hvordan de skal reagere, og hvordan de ikke skal reagere.

Hovedprinsipper for databeskyttelse

De to hovedprinsippene for databeskyttelse er datatilgjengelighet og dataadministrasjon.

Datatilgjengelighet lar de ansatte få tilgang til de dataene de trenger til den daglige driften. Å opprettholde dataenes tilgjengelighet bidrar til organisasjonens forretningskontinuitet og planer for nødgjenoppretting. Dette er viktig for databeskyttelsesplanen din som er avhengig av sikkerhetskopier lagret på en separat plassering. Tilgang til disse kopiene reduserer nedetiden til et minimum for de ansatte som holder seg i gang med arbeidet.

Dataadministrasjon omfatter administrasjon av livssyklus for data og informasjon.

  • Administrasjon av livssyklus for data dekker opprettelse, lagring og bruk samt arkivering eller avhending av data. Denne livssyklusen bidrar til å sikre at organisasjonen overholder gjeldende regler og forskrifter og at dere ikke lagrer data unødvendig.
  • Administrasjon av livssyklus for informasjon er en strategi for katalogisering og lagring av informasjonen som kommer fra organisasjonens datasett. Formålet er å finne ut hvor relevant og nøyaktig informasjonen er.

Hvorfor er databeskyttelse viktig?

Databeskyttelse er viktig for å hindre at organisasjonen blir utsatt for datatyveri, lekkasjer eller tap. Det innebærer å bruke personvernpolicyer som overholder regler og standarder og forhindre at organisasjonens omdømme blir svekket.

Strategier for databeskyttelse innebærer å overvåke og beskytte dataene i miljøet ditt og hele tiden opprettholde kontrollen over datasynlighet og -tilgang.

Utvikling av en databeskyttelsespolicy lar deg vurdere organisasjonens risikotoleranse for hver datakategori og overholde gjeldende regler og standarder. Denne policyen hjelper deg også med å etablere autentisering og godkjenning. Slik avgjør du hvem som skal ha tilgang til hvilken informasjon, og hvorfor de skal ha tilgang.

Typer løsninger for databeskyttelse

Med løsninger for databeskyttelse får du hjelp til å overvåke intern og ekstern aktivitet, flagge mistenkelig eller risikabel datadeling og kontrollere tilgangen til sensitive data.

  • Hindring av datatap

    Hindring av datatap er en sikkerhetsløsning. Gjennom for eksempel overvåking av sensitiv informasjon på alle dataressurser bidrar den til å forhindre deling, overføring eller bruk av organisasjonens sensitive data. Det bidrar også til å sikre forskriftssamsvar med for eksempel den amerikanske loven Health Insurance Portability and Accountability Act (HIPAA) og EUs personvernforordning (GDPR).
  • Replikering

    Replikering kopierer kontinuerlig dataene dine fra ett sted til et annet for å opprette og lagre oppdaterte kopier. Det tillater failover til disse dataene i tilfelle nedetid for hovedsystemet. I tillegg til å beskytte deg mot datatap, gjør replikering dataene tilgjengelig fra nærmeste server. Slik kan autoriserte brukere raskere få tilgang til dem. En fullstendig kopi av organisasjonens data lar også teamene utføre analyser uten at det går utover de daglige databehovene.

  • Lagring med innebygd beskyttelse

    Lagringsløsninger må sørge for databeskyttelse, men også la deg gjenopprette data som er slettet eller endret. Flere nivåer av redundans bidrar til å beskytte dataene mot for eksempel tjenesteavbrudd, maskinvareproblemer og naturkatastrofer. Versjonskontroll bevarer tidligere datatilstander når overskriving oppretter nye versjoner. Konfigurer en lås, for eksempel skrivebeskyttet eller kan ikke slette, på lagringskontoene for å beskytte dem mot tilsiktet eller utilsiktet sletting.

  • Brannmurer

    Brannmurer er med på å sørge for at bare autoriserte brukere får tilgang til organisasjonens data. Det fungerer ved å overvåke og filtrere nettverkstrafikk i henhold til sikkerhetsreglene deres. Det bidrar til å blokkere trusler som virus og forsøk på løsepengevirus. Brannmurinnstillingene lar deg vanligvis opprette regler for innkommende og utgående trafikk, angi sikkerhetsregler for tilkobling, vise overvåkingslogger og motta varsler når brannmuren har blokkert noe.

  • Dataoppdaging

    Dataoppdaging er prosessen med å oppdage hvilke datasett som finnes i organisasjonens datasentre samt på bærbare og stasjonære datamaskiner, ulike mobile enheter og skyplattformer. Neste trinn er å kategorisere dataene (for eksempel merke dem som begrensede, private eller offentlige) samt kontroller at de overholder regler og standarder.

  • Autentisering og autorisasjon

    Autentiserings- og autorisasjonskontroller kontrollerer brukerlegitimasjon og bekrefter at tilgangsrettigheter er tildelt og brukt på riktig måte. Rollebasert tilgangskontroll er et eksempel på å gi tilgang til bare de personene som trenger det for å kunne utføre oppgavene sine. Det kan bli brukt sammen med identitets- og tilgangsstyring for å bidra til å kontrollere hva ansatte kan og ikke kan få tilgang til. Dette for å holde organisasjonens ressurser, for eksempel apper, filer og data, sikrere.

  • Sikkerhetskopiering

    Sikkerhetskopier hører til kategorien dataadministrasjon. De kan skje så ofte du har behov (for eksempel fullstendige sikkerhetskopier om natten og trinnvise sikkerhetskopier i løpet av dagen). De lar deg også raskt gjenopprette tapte eller ødelagte data for å minimere nedetiden. Vanligvis innebærer sikkerhetskopistrategier lagring av flere kopier av dataene samt lagring av et fullstendig kopisett på en separat server og en annen på en ekstern plassering. Sikkerhetskopistrategien vil samsvare med nødgjenopprettingsplanen din.

  • Kryptering

    Kryptering bidrar til å bevare dataenes sikkerhet, konfidensialitet og integritet. Den brukes på aktive eller inaktive data for å hindre uautoriserte brukere fra å vise filinnhold selv om de får tilgang til plasseringen. Klartekst blir gjort om til uleselig chiffrering (med andre ord blir data konvertert til kode). En dekrypteringsnøkkel trengs for å kunne lese eller behandle den.

  • Nødgjenoppretting

    Nødgjenoppretting er et element innen informasjonssikkerhet (InfoSec). Fokuset er på hvordan organisasjoner bruker sikkerhetskopier til å gjenopprette data og gå tilbake til normal drift etter katastrofer (for eksempel naturkatastrofe, omfattende utstyrsfeil eller et nettangrep). Det er en proaktiv tilnærming som bidrar til at organisasjonen kan redusere påvirkningen fra uforutsigbare hendelser og reagere raskere på planlagte eller ikke-planlagte avbrudd.

  • Endpoint Protection

    Endepunkter er fysiske enheter som kobler seg til et nettverk, for eksempel mobile enheter, stasjonære datamaskiner, virtuelle maskiner, innebygde enheter og servere. Med Endpoint Protection får organisasjonen hjelp til å overvåke disse enhetene og beskytte dem mot trusselaktører som oppsøker sårbarheter eller menneskelig svikt og utnytter sikkerhetssvakheter.
  • Skyggekopier

    En skyggekopi er en visning av filsystemet ditt på et gitt tidspunkt. Den bevarer visningen og sporer eventuelle endringer som blir utført etter dette tidspunktet. Denne løsningen for databeskyttelse henviser til lagringsmatriser som bruker en samling med stasjoner i stedet for servere. Matriser oppretter vanligvis en katalog som peker mot dataenes plassering. En skyggekopi kopierer en matrise og setter dataene i skrivevernet modus. Nye oppføringer blir opprettet i katalogen, mens gamle kataloger blir bevart. Skyggekopier innebærer også systemkonfigurasjoner for å gjenopprette servere.

  • Datasletting

    Sletting er å slette lagrede data som organisasjonen ikke lenger trenger. Denne prosessen er også kjent som datatømming («data wiping» eller «data deletion») og er ofte et forskriftskrav. I følge EUs personvernforordning (GDPR) har personer rett til å få personlige opplysninger om dem slettet på forespørsel. Denne retten til sletting blir også kalt «retten til å bli glemt».

Beskyttelse, sikkerhet og personvern

De kan høres ut som synonyme termer, men databeskyttelse, datasikkerhet og personvern har ulike målsetninger. Databeskyttelse omfatter sikkerhetsstrategier og -prosesser som bidrar til å sikre organisasjonens sensitive data mot korrupsjon, kompromittering og tap. Datasikkerhet handler om å ivareta dataenes integritet. Målet er å beskytte dem mot korrupsjon via uautoriserte brukere eller innsidetrusler. Personvern for data kontrollerer hvem som har tilgang til dataene dine, og bestemmer hva som kan bli delt med tredjeparter.

Anbefalte fremgangsmåter for databeskyttelse

Anbefalte fremgangsmåter for databeskyttelse består av planer, policyer og strategier som bidrar til å kontrollere tilgangen til dataene, overvåke nettverks- og bruksaktivitet og svare på interne og eksterne trusler.

  • Få kontroll over kravene

    En omfattende styringsplan oppdager forskriftskrav og hvordan de gjelder for dataene til din organisasjon. Kontroller at du har synlighet på tvers av alle dataene, og klassifiser dem skikkelig. Forsikre deg om at du overholder bransjens regler og standarder for personvern.

  • Begrens tilgang

    Tilgangskontroll bruker autentisering til å kontrollere at brukere er dem de sier at de er, og autorisasjon til å avgjøre hvilken informasjon de har lov til å se og bruke. I tilfelle datainnbrudd er tilgangskontroll en av de første policyene som må bli gransket, for å avgjøre om den har blitt riktig implementert og vedlikeholdt.

  • Opprett en cybersikkerhetspolicy

    En policy for cybersikkerhet definerer og styrer IT-aktiviteter i organisasjonen. Den gjør de ansatte mer oppmerksomme på vanlige trusler mot dataene og mer på vakt når det gjelder sikkerhet. Den kan også tydeliggjøre strategiene du har for databeskyttelse og fremme ansvarlige holdninger til databruk.

  • Overvåk aktiviteter

    Løpende overvåking og testing bidrar til å identifisere områder med potensiell risiko. Bruk kunstig intelligens og automatiser oppgavene for dataovervåking. Slik kan du raskt og effektivt få øye på trusler. Dette systemet varsler deg tidlig om potensielle data- og sikkerhetsproblemer før de kan føre til skade.

  • Legg en plan for svar på hendelser

    Har du opprettet en plan for svar på hendelser før et eventuelt datainnbrudd inntreffer, er du forberedt på å iverksette tiltak. Svarteamet (for eksempel IT-sjef, InfoSec og kommunikasjonssjef) får hjelp til å opprettholde systemenes integritet og få organisasjonen tilbake i drift så raskt som mulig.

  • Identifiser risikoer

    Ansatte, leverandører, oppdragstakere og partnere har informasjon om dataene, datasystemene og sikkerhetspraksisen din. For å kunne oppdage uautorisert tilgang til data og bidra til å beskytte dem mot misbruk må du vite hvilke data du har, og hvordan de brukes på tvers av de digitale ressursene dine.

  • Styrk sikkerheten for datalagring

    Sikkerhet for datalagring bruker metoder som tilgangskontroll, kryptering og endepunktsikkerhet til å opprettholde integriteten og konfidensialiteten for de lagrede dataene. Det reduserer også risikoen for tilsiktet eller utilsiktet skade og gir kontinuerlig tilgjengelighet til dataene.

  • Lær opp de ansatte

    Om de er tilsiktede eller ikke, kan interne risikoer føre til sikkerhetsbrudd på dataene. Informer tydelig om policyene for dataforebygging på alle nivåer for å hjelpe de ansatte med å følge dem. Gjenta opplæringen ofte gjennom oppfriskningsøkter og veiledning når spesifikke problemer oppstår.

Lover og forskriftssamsvar for databeskyttelse

Alle organisasjoner er forpliktet til å overholde gjeldende regler og standarder for databeskyttelse. Juridiske forpliktelser inkluderer, men er ikke begrenset til, å bare samle inn den informasjonen du trenger fra kunder eller ansatte, holde denne informasjonen trygg og avhende den på riktig måte. Her er noen eksempler på personvernlover.

EUs personvernforordning (GDPR) er den strengeste loven om sikkerhet og personvern for data. Den ble utarbeidet og vedtatt av EU, men organisasjoner over hele verden er forpliktet til å overholde den hvis de målretter eller samler inn personopplysninger om EU-borgere eller -innbyggere, eller hvis de tilbyr varer eller tjenester til dem.

CCPA (The California Consumer Privacy Act) bidrar til å sikre personvernrettighetene for forbrukere i California. Det omfatter retten til å vite hvilke personopplysninger som bedrifter samler inn, og hvordan disse blir brukt og delt, retten til å slette personopplysninger som er samlet inn om dem, og retten til å velge bort salg av personopplysningene deres.

HIPAA (den amerikanske loven Health Insurance Portability and Accountability Act) bidrar til å beskytte pasienters helseopplysninger fra å bli avslørt uten pasientens viten eller samtykke. HIPAAs personvernregel beskytter personlige helseopplysninger og ble utstedt for å implementere HIPAA-krav. HIPAAs sikkerhetsregel bidrar til å beskytte identifiserbare helseopplysninger som helsepersonell oppretter, mottar, vedlikeholder eller overfører elektronisk.

GLBA (The Gramm-Leach-Bliley Act), også kjens som «Services Modernization Act of 1999», krever at finansinstitusjoner forklarer praksisen sin for informasjonsdeling til kunder og beskytter sensitive data.

«Federal Trade Commission» er det viktigste beskyttelsesorganet for forbrukere i USA. I «Federal Trade Commission Act» er urettferdige konkurransemetoder og urettferdige eller villedende handlinger eller praksis som påvirker handel, erklært ulovlige.

Etter hvert som strategiene og prosessene utvikler seg, er det noen trender innen databeskyttelse som organisasjonen din må være klar over. De omfatter forskriftssamsvar, risikostyring og dataportabilitet.

  • Flere databeskyttelsesforordninger

    EUs personvernforordning (GDPR) har blitt målestokken for hvordan andre land samler inn, avslører og lagrer personopplysninger. Siden de ble innført, har CCPA i USA (California) og den generelle personvernloven i Brasil fått betydning for å holde tritt med økningen av nettkonsumerisme og personlig tilpassede produkter og tjenester.

  • Mobildatabeskyttelse

    Å forhindre at uautoriserte at brukere får tilgang til nettverket ditt, omfatter beskyttelse av sensitive data som er lagret på bærbare enheter, for eksempel bærbare datamaskiner, nettbrett og smarttelefoner. Programvare for sikkerhet bruker identitetsbekreftelse for å bidra til å hindre at enheter blir kompromittert.

  • Mindre tilgang for tredjeparter

    Sikkerhetsbrudd på dataene kan ofte bli sporet til tredjeparter (for eksempel leverandører, partnere og tjenesteleverandører) som har for mye tilgang til organisasjoners nettverk og data. Håndtering av tredjepartsrisikoer blir nå oftere inkludert i forskriftssamsvar for å begrense tredjeparters tilgang til og bruk av data.

  • Administrasjon av kopierte data

    Håndtering av datakopiering oppdager dupliserte data, sammenligner like data og lar organisasjonen slette ubrukte kopier av dataene. Denne løsningen minimerer inkonsekvens forårsaket av dupliserte data, reduserer lagringskostnadene og bidrar til å opprettholde sikkerhet og samsvar.

  • Dataportabilitet

    Da databehandling i skyen var nytt, var dataportabilitet og overføring av store datasett til andre miljøer vanskelig. Skyteknologien har økt dataenes portabilitet, og organisasjoner kan nå flytte dem mellom ulike miljøer, for eksempel fra lokale datasentre til offentlige skyer eller mellom skyleverandører.

  • Nødgjenoppretting som tjeneste

    Nødgjenoppretting som tjeneste lar organisasjoner i alle størrelser bruke kostnadseffektive skytjenester til å duplisere systemene sine og gjenopprette driften etter katastrofehendelser. Det bidrar med fleksibiliteten og skalerbarheten fra skybasert teknologi og blir regnet som en effektiv løsning for å unngå nedetid for tjenester.

Dataoppdaging og -klassifisering

Dataoppdaging og dataklassifisering er to separate prosesser. De fungerer sammen for å sørge for synlighet for organisasjonens data. Verktøy for dataoppdagelse skanner alle de digitale ressursene dine for å oppdage hvor strukturerte og ustrukturerte data befinner seg, noe som er svært viktig for databeskyttelsesstrategien din. Dataklassifisering organiserer data fra dataoppdagelsesprosessen basert på filtype, innhold og andre metadata. Det bidrar til å fjerne dupliserte data og gjør det enklere å lokalisere og finne dataene igjen.

Ubeskyttede data er sårbare. Når du vet hvilke data du har, og hvor de befinner seg, bidrar du til å beskytte dem og sørge for overholdelse av regler og standarder relatert til dataprosesser og -kontroller.

Løsninger for databeskyttelse

Løsninger for databeskyttelse bidrar til å hindre datatap og omfatter sikkerhet, sikkerhetskopiering og gjenoppretting av data. Alt dette støtter organisasjonens nødgjenopprettingsplan direkte.

Forenkle måten organisasjonen forstår de sensitive dataene sine på. Med Microsofts sikkerhetsløsninger får du synlighet for alle dataene dine og mer effektiv beskyttelse på tvers av apper, skyer og enheter. Dessuten får du hjelp til å håndtere forskriftskrav.

Mer informasjon om Microsoft Sikkerhet

Microsoft Purview

Utforsk løsninger for styring, beskyttelse og forskriftssamsvar for organisasjonens data.

Bidra til hindring datatap

Oppdag upassende deling, overføring eller bruk av sensitive data på endepunkter, apper og tjenester.

Informasjonsbeskyttelse

Bidra til å beskytte og styre dataene med innebygde, intelligente, enhetlige og utvidbare løsninger.

Kommunikasjonssamsvar

Bruk maskinlæring til å oppdage kommunikasjonsbrudd.

Vanlige spørsmål

  • Noen eksempler på databeskyttelse er vern mot tilsiktet eller utilsiktet skade, strategier for nødgjenoppretting og begrensing av tilgang til bare personer som har bruk for dataene.

  • Målet med databeskyttelse er å verne organisasjonens data mot kompromittering, skade og tap.

  • EUs personvernforordning GDPR fastslår at enkeltpersoner har grunnleggende rettigheter og friheter når det gjelder beskyttelse av egne personopplysninger. Alle organisasjoner som samler inn personopplysninger, må oppnå eksplisitt samtykke fra personene det gjelder, og skal være åpne om måten disse dataene vil bli brukt på.

  • Verktøy for databeskyttelse omfatter dataoppdaging og -beholdning samt sletting, tilgangsstyring og endepunktsikkerhet.

  • For å bidra til å beskytte data kan bedrifter begynne med å etablere en sikkerhetspolicy som definerer for eksempel godkjent bruk og hendelsesrapportering. Sikkerhetskopiering av kritiske data, holde programvaren oppdatert og opplæring de ansatte i databeskyttelse er andre viktige tiltak.

Følg Microsoft 365