Behandling av persondata
Enhver bedrift regnes som behandlingsansvarlig hvis den oppbevarer eller behandler persondata til sine kunder eller ansatte. I tillegg kan bedriften bli ansett som databehandler hvis den behandler persondata på vegne av andre behandlingsansvarlige eller deres databehandlere.
Behandling av persondata setter store krav til informasjonssikkerhet og intern kontroll. Med skytjenester i bildet blir det litt mer komplisert – hvordan kan bedriften sikre persondata når de ikke eier servere og applikasjoner dataene behandles og oppbevares i? Det skal vi gi deg svaret på videre i denne artikkelen.
Identity Management – kontroll over roller og tilganger
Som behandlingsansvarlig må bedriften sørge for at persondata kun er behandlet av autoriserte personer, og kun i den grad som er nødvendig. Det er viktig å gi ansatte riktige brukerroller, styre deres tilganger og rettigheter. Enda viktigere er det å kunne ta tilgangene bort fra ansatte som ikke lenger jobber med et gitt prosjekt eller i samme firma.
Er det for mye å holde styr på manuelt, kommer løsninger innenfor identitet- og tilgangsstyring til hjelp. IAM-løsninger gir mulighet til automatisering av identitetsforvaltning, og kan gi de ansatte tilgang til riktige skyapplikasjoner og ressurser som er nødvendig for gitt brukerrolle. Alle tilgangene kan også fratas når de ikke lenger er nødvendige – helt automatisk.
IAM tilbyr rapporter over tilganger og brukerroller, og sikrer at bedriften til enhver tid kan svare på hvem som har tilgang til persondata.
Single Sign-On med adaptiv multifaktorautentisering – sikker pålogging til bedriftens skyløsninger
GDPR stiller høye krav til informasjonssikkerhet. Bedriften har plikt til å bevise at de fortløpende sørger for konfidensialitet, integritet, tilgjengelighet og robusthet av systemer og tjenester som behandler persondata. Bruk av SaaS-, PaaS- og IaaS-løsninger øker ofte tilgjengelighet og robusthet når applikasjoner befinner seg på større, sikre plattformer, men hva skjer hvis påloggingsdetaljer blir stjålet?
Single Sign-On løser utfordringer knyttet til bruk av ulike passord til forskjellige tjenester, gjennom pålogging og lagring av passord eksternt på serveren til skyapplikasjonsleverandøren for slike tjenester. Kombinert med multifaktorautentisering (MFA) gir den god beskyttelse mot phishing og andre situasjoner der ansatte kan bli frastjålet sine påloggingsdetaljer.
Adaptiv-MFA gir i tillegg ett lag til med sikkerhet: avvik tilknyttet geografisk beliggenhet, uvanlig påloggingstid og ukjent enhet man logger seg på fra, utløser alarm som da krever tilleggsinformasjon fra brukeren som prøver å logge seg på. Alt dette sørger for forbedring av konfidensialitet og integritet.
CASB og DLP i skyen – oversikt og kontroll over informasjonsflyt og sensitiv data
GDPR-krav gjelder også mer enn selve tilgangen til ressurser. Har du kontroll over hvem persondata i din bedrift deles med? Er du helt trygg på at filer som inneholder persondata ikke ble lastet opp på en dårlig sikret skylagringstjeneste av en uforsiktig ansatt? Eller at en database med personinformasjon om dine kunder ikke er blitt videresendt til en ansatt sin private e-postadresse?
En Cloud Access Security Broker (CASB) kan finne ut hvilke skytjenester som er brukt av de ansatte, samt hva slags data som sendes og lagres. Tjenesten gir mulighet til å tillate eller blokkere valgte tjenester, basert på for eksempel deres lokasjon. GDPR tillater ikke at persondata overføres til land utenfor EU/EØS som ikke har tilstrekkelig beskyttelsesnivå.
Ved hjelp av innebygd DLP (Data Loss Prevention) kan regler og tilhørende alarmer settes når persondata blir forsøkt sendt til ekstern e-postadresse, delt med andre eller publisert offentlig.
GAP-analyse – sjekk din nåværende situasjon med ønsket nivå av sikkerhet i skyen
Våre sikkerhetsarkitekter har utarbeidet en GAP-analyse tilpasset krav til GDPR og skytjenester. Dermed kan din bedrift finne ut hvordan den ligger an i forhold til GDPR-lovverket og ønsket sikkerhertsnivå, samt hvilke elementer som gjenstår.
Uansett om du allerede bruker SaaS-, IaaS- eller PaaS-løsninger, eller vurderer å flytte dine tjenester til skyen, kan vi hjelpe deg med å gjøre dette på en sikker måte!
Cloudworks’ Cloud Security Framework – sikkerhet i din skyløsning
Cloudworks’ Cloud Security Framework er et rammeverk utviklet for å ivareta sikkerheten til kundene våre i deres IaaS- og PaaS-løsninger. Her legger vi stor vekt på konfidensialitet, integritet, tilgjengelighet og robusthet til systemene, som ofte behandler persondata. Rammeverket tilpasses kundenes behov, samt reglene som de er pålagt å overholde.
Cloudworks’ Cloud Security Framework består av en GAP-analyse, sikker konfigurasjon av kundens IaaS/PaaS-løsning og opplæring. Hvis din bedrift vurderer å migrere til skyen eller har allerede migrert til skyen og ønsker veiledning og strukturering av din løsning med tanke på overholdelse av GDPR-krav, så er dette definitivt noe å vurdere!
Vil du vite mer? Våre erfarne IAM konsulenter og sikkerhetsarkitekter kan hjelpe deg med dine utfordringer knyttet til GDPR, informasjonssikkerhet og skyløsninger – ta kontakt med oss i dag!