Hva er datasikkerhet?
Datasikkerhet innebærer å vite hvilke data du har og hvor dataene befinner seg, samt identifisere risiko rundt dataene dine. Lær å beskytte dataene dine.
Definisjon av datasikkerhet
Datasikkerhet bidrar til å beskytte sensitive data gjennom hele den livssyklus, forstå sammenhenger mellom brukeraktivitet og data, og forhindre uautorisert bruk eller tap av data.
Betydningen av datasikkerhet kan ikke understrekes nok i en tid med økende cybersikkerhetstrusler og intern risiko. Det er nødvendig for å ha innsikt i hvilke typer data du har, forhindre uautorisert bruk av data og identifisere og minimere risiko rundt data. I tilknytning til datasikkerhet, er administrasjon av datasikkerhet veiledning for organisasjonen rundt planlegging, organisering og kontroll av aktiviteter knyttet til datasikkerhet. Dette gjøres ved hjelp av velskrevne policyer og prosedyrer.
Typer datasikkerhet
For at datasikkerhet skal være effektivt, må den ta hensyn til datasettenes følsomhet og organisasjonens krav til overholdelse av regelverk. Ulike typer datasikkerhet som hjelper deg med å beskytte mot datainnbrudd, oppfylle forskriftsmessige krav og forhindre omdømmetap omfatter:
- Tilgangskontroll som styrer tilgang til lokale og skybaserte data.
- Autentisering av brukere ved hjelp av passord, adgangskort eller biometriske data.
- Sikkerhetskopier og gjenoppretting for å aktivere tilgang til data etter systemfeil, datakorrupsjon eller nødgjenoppretting.
- Dataresiliens som en proaktiv tilnærming til nødgjenoppretting og forretningskontinuitet.
- Datasletting for å fjerne data på riktig måte slik at de ikke kan gjenopprettes.
- Programvare for datamaskering som bruker proxytegn for å skjule bokstaver og siffer fra uautoriserte brukere.
- Løsninger som hindrer datatap for å beskytte mot uautorisert bruk av sensitive data.
- Kryptering for å gjøre filer uleselige for uautoriserte brukere.
- Informasjonsbeskyttelse for å klassifisere sensitive data i filer og dokumenter.
- Administrasjon av intern risiko for å minimere risikabel brukeraktivitet.
Datatyper som har behov for å sikres
Alle som har opplevd å bli frastjålet et kredittkort eller identitet får en dypere forståelse for effektiv databeskyttelse. Ondsinnede hackere finner stadig nye måter å stjele personlig informasjon og kreve løsepenger, selge eller svindle på andre måter. I tillegg, er nåværende og tidligere ansatte ofte en årsak til tap av data. Derfor er administrasjon av intern risiko nødvendig for organisasjoner.
Hver bransje har sine egne krav til hva som skal beskyttes og hvordan det skal gjøres, men typiske data som har behov for beskyttelse er:
- Personlig informasjon om dine ansatte og kunder.
- Økonomiske data som kredittkortnummer, bankinformasjon og økonomiske rapporter.
- Helseinformasjon som benyttede tjenester, diagnoser og testresultater.
- Åndsverk som forretningshemmeligheter og patenter.
- Data om forretningsdrift som informasjon om forsyningskjeden og produksjonsprosesser.
Trusler mot datasikkerhet
På jobb og hjemme, gir internett deg tilgang til kontoer, kommunikasjonsmetoder og måter å dele og bruke informasjon på. Mange typer cyberangrep og intern risiko kan sette informasjonen du deler i fare.
-
Hacking
Hacking vil si ethvert forsøk på å stjele data via en datamaskin, ødelegge nettverk eller filer, overta organisasjons digitale miljø, eller endre deres data og aktiviteter. Hackernes metoder kan være phishing, skadelig programvare, kodemanipulering og distribuerte tjenestenektangrep.
-
Løsepengevirus
Løsepengevirus er skadelig programvare som hindrer tilgang til nettverket og filene dine til du betaler løsepenger. Å åpne et e-postvedlegg eller klikke på en annonse er noen måter et løsepengevirus kan lastes ned til datamaskinen din. Det oppdages vanligvis når du ikke får tilgang til filer eller du ser en beskjed med krav om betaling.
-
Phishing
Phishing er å lure enkeltpersoner eller organisasjoner til å gi fra seg informasjon som kredittkortnumre og passord. Formålet er å stjele eller skade sensitive data ved utgi seg for å være en anerkjent bedrift som offeret kjenner til.
-
Datalekkasje
Datalekkasje er bevisst eller utilsiktet overføring av data fra innsiden av en organisasjon til en ekstern mottaker. Dette kan gjøres via e-post, internett og enheter som bærbare datamaskiner og flyttbare lagringsenheter. Filer og dokumenter som tas ut av lokalene er også en type datalekkasje.
-
Uaktsomhet
Uaktsomhet er når en ansatt bevisst bryter sikkerhetspolicyer uten ønske om å skade bedriften. For eksempel om de deler sensitive data med en kollega som ikke har tilgang, eller logger på bedriftens ressurser via en usikret trådløs forbindelse. Et annet eksempel er å gi noen adgang til et bygg uten at de viser identifikasjon.
-
Svindel
Svindel utføres av sofistikerte brukere som vil utnytte nettbasert anonymitet og tilgjengelighet i sanntid. De oppretter kanskje transaksjoner ved hjelp av kompromitterte kontoer og stjålne kredittkortnumre. Organisasjoner kan blir ofre for garantisvindel, refusjonssvindel eller forhandlersvindel.
-
Tyveri
Tyveri er en intern trussel som resulterer i stjålne data, penger eller åndsverk. Det gjøres for personlig vinning og for å skade organisasjonen. For eksempel kan en betrodd leverandør selge kundenes fødselsnummer på det mørket nettet eller bruke intern informasjon om kunder for å starte egen virksomhet.
-
Naturkatastrofer
Naturkatastrofer kommer ofte uten forvarsel, så det er lurt å være forberedt for å kunne beskytte dataene dine, i tilfelle. Enten det er en orkan, jordskjelv, flom eller annen type ødeleggelse, vil det å ha eksterne sikkerhetskopier av data kunne gi forretningskontinuitet.
Datasikkerhetsteknologier
Datasikkerhetsteknologier er nøkkelkomponenter i en komplett strategi for datasikkerhet. Ulike løsninger for å hindring av datatap er tilgjengelige for å hjelpe deg med å oppdage intern og ekstern aktivitet, flagge mistenkelig eller risikabel datadeling og kontrollere tilgangen til sensitive data. Implementer datasikkerhetsteknologier som disse for å forhindre at sensitive data blir lekket.
Datakryptering. Bruk kryptering – konvertering av data til kode – på aktive eller inaktive data for å for å forhindre uautoriserte brukere i å se filinnhold selv om de får tilgang til plasseringen.
Brukerautentisering og autorisasjon. Verifiser brukerlegitimasjon og sikre at tilgangsrettigheter er tildelt og brukt på riktig måte. Rollebasert tilgangskontroll hjelper organisasjonen din med å gi tilgang bare til de som trenger det.
Gjenkjenning av intern risiko. Identifiser aktivitet som kan indikere intern risiko eller trusler. Forstå konteksten rundt databruk for å kunne vite når nedlastinger, e-poster utenfor organisasjon og omdøpte filer tyder på mistenkelig aktivitet.
Policyer for hindring av datatap. Opprett og håndhev policyer som definerer hvordan data administreres og deles. Spesifiser autoriserte brukere, programmer og miljøer for ulike aktiviteter for å forebygge at data lekkes eller stjeles.
Sikkerhetskopiering av data. Lag en eksakt kopi av organisasjonens data for at autoriserte administratorer skal ha en måte å gjenopprette dem på om det oppstår lagringsfeil, datainnbrudd eller en katastrofe av noe slag.
Sanntidsvarsler. Automatiser meldinger om potensiell misbruk av data og få varsler om mulige sikkerhetshendelser før de skader data, omdømme eller ansatte og kunders personvern.
Risikovurdering. Vær klar over at ansatte, leverandører, oppdragstakere og partnere har informasjon om dataene og sikkerhetspraksisen din. Ha oversikt over hvilke data du har og hvordan de brukes i hele organisasjonen for å kunne forhindre at de misbrukes.
Datarevisjon. Ta tak i viktige bekymringer som databeskyttelse, nøyaktighet og tilgjengelighet med regelmessig planlagt datarevisjon. Det gir deg informasjon om hvem som bruker dataene dine og hvordan de blir brukt.
Strategier for å administrere datasikkerhet
Strategier for å administrere datasikkerhet inkluderer policyene, prosedyrene og styringen som bidrar til å holde dataene sikret.
-
Implementer anbefalte fremgangsmåter for passordbehandling
Implementer en brukervennlig løsning for passordbehandling. Det vil fjerne behovet for huskelapper og regneark, og de ansatte trenger ikke huske unike passord.
Bruk passfraser i stedet for passord. En passfrase kan være lettere å huske for de ansatte og vanskeligere for nettkriminelle å gjette seg frem til.
Aktiver godkjenning med to faktorer (2FA). Med 2FA er påloggingssikkerheten ivaretatt selv om en passfrase eller et passord er kompromittert. Den uautoriserte brukeren får ikke tilgang uten koden som sendes til den andre enheten.
Endre passordene dine etter et sikkerhetsbrudd. Å endre dem oftere gjør det mer sannsynlig at de svekkes over tid.
Unngå gjenbruk av passfraser eller passord. Når de er kompromittert, brukes de ofte til å bryte seg inn i andre kontoer. -
Opprett en beskyttelsesplan
Beskytt sensitive data. Oppdag og klassifiser datamengder for å vite størrelse, type og informasjonens plassering gjennom hele livssyklusen.
Håndter intern risiko. Forstå brukeraktivitet og den tiltenkte bruken av dataene for å identifisere potensielt risikable aktiviteter som kan føre til datasikkerhetshendelser.
Etabler riktige tilgangskontroller og policyer. Forebygg handlinger som upassende lagring, oppbevaring eller utskriving av sensitive data.
-
Bruk kryptering for å sikre data
Datakryptering forhindrer at uautoriserte brukere leser sensitive data. Selv om de får tilgang til datamiljøet eller ser data som er i bevegelse, er dataene ubrukelige fordi de ikke enkelt kan leses eller forstås.
-
Installer programvare og sikkerhetsoppdateringer
Programvare og sikkerhetsoppdateringer tar hånd om kjente svakheter som nettkriminelle ofte utnytter for å stjele sensitiv informasjon. Å følge med på regelmessige oppdateringer bidrar til å ta hånd om disse svakhetene og forhindrer at systemene dine blir kompromittert.
-
Lær opp ansatte i datasikkerhet
Beskyttelse av organisasjonens data er ikke kun IT-avdelingens ansvar. De ansatte trenger også opplæring for å ha kjennskap til datalekkasje, tyveri og korrupsjon. Anbefalte fremgangsmåter innen datasikkerhet er relevant både for nettbaserte data og fysiske kopier. Formell opplæring bør gjentas regelmessig, enten hvert kvartal, halvår eller år.
-
Implementer sikkerhetsprotokoller for fjernarbeid
Begynn med å tydeliggjøre policyer og prosedyrer når sikkerhetsprotokoller skal implementeres for de som jobber eksternt. Dette vil typisk være obligatorisk sikkerhetsopplæring og gjennomgang av hvilken programvare som er tillatt og hvordan det skal brukes. Protokoller bør også omfatte en prosess som sikrer alle enheter som brukes av de ansatte.
Regelverk og forskriftssamsvar
Organisasjoner er forpliktet til å overholde gjeldende regler og standarder for databeskyttelse. Dette inkluderer, men er ikke begrenset til, å bare samle inn den informasjonen du trenger fra kunder eller ansatte, holde denne informasjonen trygg og avhende den på riktig måte. Eksempler på personvernlover er EUs personvernforordning (GDPR), og de amerikanske lovene Health Insurance Portability and Accountability Act (HIPAA) og California Consumer Privacy Act (CCPA).
EUs personvernforordning (GDPR) er den strengeste loven om sikkerhet og personvern for data. Den ble utarbeidet og vedtatt av EU, men organisasjoner over hele verden er forpliktet til å overholde den hvis de målretter eller samler inn personopplysninger om EU-borgere eller -innbyggere, eller hvis de tilbyr varer eller tjenester til dem.
HIPAA (den amerikanske loven Health Insurance Portability and Accountability Act) bidrar til å beskytte pasienters helseopplysninger fra å bli avslørt uten pasientens viten eller samtykke. HIPAAs personvernregel beskytter personlige helseopplysninger og ble utstedt for å implementere HIPAA-krav. HIPAAs sikkerhetsregel bidrar til å beskytte identifiserbare helseopplysninger som helsepersonell oppretter, mottar, vedlikeholder eller overfører elektronisk.
CCPA (The California Consumer Privacy Act) bidrar til å sikre personvernrettighetene for forbrukere i California. Det omfatter retten til å vite hvilke personopplysninger som bedrifter samler inn, og hvordan disse blir brukt og delt, retten til å slette personopplysninger som er samlet inn om dem, og retten til å velge bort salg av personopplysningene deres.
Personvernombud er en lederrolle som overvåker overholdelse av regler og standarder og bidrar til å sikre at organisasjonen behandler personopplysninger i samsvar med personvernlovgivningen. For eksempel informerer de og gir råd til samsvarsteam om hvordan de skal være i samsvar med kravene, lære opp organisasjonen, og rapportere mangler på samsvar med regler og forskrifter.
Mangel på overholdelse som resulterer i databrudd kan koste en organisasjon store summer. Konsekvensene kan være identitetstyveri, tap av produktivitet og kundeflukt.
Konklusjon
Datasikkerhet og administrasjon av datasikkerhet bidrar til å identifisere og vurdere trusler mot data, overholde forskriftsmessige krav og opprettholde integriteten til dataene dine.
Gjør det til en vane å sikkerhetskopiere dataene dine regelmessig, lagre en kopi av sikkerhetskopien eksternt, etablere strategier som datasikkerhetsadministrasjon,og håndheve sterke passord eller passfraser og 2FA.
Å gjøre tiltak for å beskytte data gjennom dens livssyklus, forstå hvordan data brukes, forhindre datalekkasje og opprette policyer for å forebygge datatap er fundamentene i å bygge et sterkt forsvar i organisasjonen din.
Lær å beskytte dataene dine på tvers av skytjenester, programmer og endepunkter med datasikkerhetsprosedyrer og -verktøy.
Mer informasjon om Microsoft Sikkerhet
Microsoft Purview
Utforsk løsninger for styring, beskyttelse og forskriftssamsvar for organisasjonens data.
Bidra til å forebygge datatap
Oppdag upassende deling eller bruk av sensitive data på endepunkter, og i programmer og tjenester.
Håndter intern risiko
Lær hvordan du identifiserer potensiell risiko i dine ansattes og leverandørers aktiviteter.
Informasjonsbeskyttelse
Oppdag, klassifiser og beskytt de mest sensitive dataene dine på tvers av din digitale eiendom.
Vanlige spørsmål
-
Datasikkerhet bidrar til å beskytte sensitive data gjennom hele dens livssyklus, forstå sammenhenger mellom brukeraktivitet og data og forhindre uautorisert bruk av data. Det innebærer å vite hvilke data du har og hvor dataene befinner seg, samt å identifisere risiko rundt disse dataene.
-
Ulike typer datasikkerhet inkluderer:
- Tilgangskontroll som krever påloggingsinformasjon til lokale og skybaserte data.
- Autentisering av brukere ved hjelp av passord, adgangskort eller biometriske data.
- Sikkerhetskopier og gjenoppretting for å aktivere tilgang til data etter systemfeil, datakorrupsjon eller nødgjenoppretting.
- Dataresiliens som en proaktiv tilnærming til nødgjenoppretting og forretningskontinuitet.
- Datasletting som destruerer data slik at de er uopprettelige.
- Programvare for datamaskering som bruker proxytegn for å skjule bokstaver og siffer fra uautoriserte brukere.
- Løsninger som hindrer datatap for å beskytte mot uautorisert bruk av sensitive data.
- Kryptering for å gjøre filer uleselige for uautoriserte brukere.
- Informasjonsbeskyttelse for å klassifisere sensitive data i filer og dokumenter.
- Administrasjon av intern risiko for å minimere risikabel brukeraktivitet.
-
Et eksempel på datasikkerhet er å bruke teknologi for å se hvor sensitive data befinner seg i organisasjonen, og vite hvordan dataene aksesseres og brukes.
-
Datasikkerhet er viktig fordi det bidrar til å beskytte organisasjonen mot cyberangrep, interne trusler og menneskelige feil, som alle kan resultere i datalekkasjer.
-
De fire nøkkelelementene innen datasikkerhet er konfidensialitet, integritet, tilgjengelighet og etterlevelse.
Følg Microsoft 365