Skip to main content

Er hjemmearbejdspladsen sikker?

Den nye fleksible arbejdsplads byder på nye udfordringer for databeskyttelse. Normalt betyder flere medarbejdere, der arbejder eksternt, at flere medarbejdere bruger personlige enheder og en række forskellige servere til at få adgang til virksomhedsdata. Kommer alle til at bruge en sikker forbindelse og holde deres arbejdsenheder sikre? Hvordan kan I være sikker på, at medarbejderne behandler personlige og følsomme data korrekt?

For nogle virksomheder, der behandler store mængder følsomme data, kan hjemmearbejde faktisk bare være en no-go. Men for de fleste af os kan nogle få huskeregler opveje risiciene. Dette gør det muligt for jer at tilbyde jeres medarbejdere fleksibiliteten ved at gøre brug af en hjemmearbejdsplads, mens I stadig beskytter de følsomme data, I råder over.

Gør dette, når I skal beskytte data på en hjemmearbejdsplads

Her er nogle områder, I kan fokusere på for at sikre, at I beskytter jeres data, mens I har en fleksibel arbejdsplads:

  1. Brug streng adgangskontrol
  2. Brug kryptering, adgangskoder og multifaktorautentificering
  3. Minimér mængden af følsomme data og sørg for at slette data igen
  4. Udfør regelmæssige risikovurderinger
  5. Uddan og træn jeres medarbejdere i datasikkerhed

Lad os tage et kig på, hvordan hver af disse områder kan hjælpe jer med at beskytte følsomme data på en hjemmearbejdsplads, og hvordan I kan implementere dem i jeres virksomhed.

Flexible workplace

Brug streng adgangskontrol og -politik

Cloud-miljøer har gjort det nemmere end nogensinde før for folk at arbejde med virksomhedsdata fra hvor som helst i verden. Men bare fordi I nemt kan give alle adgang til alle virksomhedens data, betyder det ikke, at I bør gøre det. Selvom I vil sikre jer, at alle kan få adgang til de data, de har brug for, er det ikke alle, der har brug for adgang til f.eks. personlige og følsomme data.

Hvordan kan I stramme op på jeres adgangskontrol? Find først ud af, hvilke foldere og systemer der indeholder følsomme data, og hvem der har adgang til dem. Beslut derefter, hvem der virkelig har brug for adgang. Til sidst bør I implementere “Principle of least privilege”. Dette princip er et sikkerhedskoncept, der kræver, at enhver bruger, program eller systemproces kun tildeles de minimumsadgangsrettigheder, der er nødvendige for at udføre dens jobfunktioner. Hver bruger får kun adgang til de data og ressourcer, de har brug for for at udføre deres jobfunktion, og ikke mere.

Dette kan hjælpe med at reducere risikoen for uautoriseret adgang, databrud og andre sikkerhedshændelser. Hvis en hacker bryder ind på en brugerkonto med kun begrænsede privilegier, vil de fleste af jeres følsomme data stadig være uden for deres rækkevidde. Den skade, de laver, vil være meget mere håndterbar, sammenlignet med hvis de brød ind på en konto med fuld adgang.

Når I har besluttet, hvem der skal have adgang til hvad, kan I håndhæve jeres nye adgangskontrol med stærke dataadgangspolitikker, adgangsstyringsværktøjer og andre sikkerhedsmekanismer.

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes e-mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens e-mails.

Brug kryptering, adgangskoder og multifaktorautentificering

Følsomme data bør krypteres både under transport og i hvile for at beskytte mod uautoriseret adgang. Dette omfatter kryptering af e-mails, filer og anden kommunikation, der indeholder følsomme oplysninger.

I bør udarbejde en politik, der beskriver, hvordan alle medarbejdere skal bruge kryptering på kontoret og på en hjemmearbejdsplads. Politikken bør definere, hvilke krypteringsværktøjer der skal bruges, hvilke data der skal krypteres, hvem der er ansvarlig for krypteringsnøglerne, og hvordan I vil administrere og overvåge kryptering.

Sørg for, at alle medarbejdere ved, hvordan man opretter stærke adgangskoder. Konfigurer to-faktor-godkendelse, som bekræfter brugernes identitet, før de får adgang til følsomme data. Disse enkle tiltag gør en enorm forskel i, hvor sikre jeres data er, uanset hvor folk arbejder fra.

Minimér mængden af følsomme data og sørg for at slette data igen

Data-minimering og begrænsninger for dataopbevaring hjælper med at beskytte følsomme data og begrænser potentialet for datamisbrug.

Jo færre lagrede data I har, desto færre data kan kompromitteres i tilfælde af et databrud. Databrud kan være ødelæggende, men dataminimering kan reducere den potentielle skade.

Begrænsninger for dataopbevaring kan hjælpe med at holde data sikre ved at reducere den tid, følsomme oplysninger opbevares. Dette begrænser til gengæld eksponeringen af disse oplysninger for potentielle trusler.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Udfør regelmæssige risikovurderinger

Risikovurderinger er en væsentlig komponent, når det gælder datasikkerhed. På en fleksible arbejdsplads, der tilbyder hjemmearbejdspladser er de endnu mere kritiske. Jeres risikovurderinger hjælper jer med at identificere og afbøde eventuelle sikkerhedsrisici, når folk arbejder hjemmefra.
I kan lave en simpel risikovurdering ved at gøre følgende:
  1. Identificer følsomme data. Hvilke typer følsomme data håndterer, behandler eller opbevarer I? Dette omfatter personligt identificerbare oplysninger (PII), beskyttede sundhedsoplysninger (PHI), intellektuel ejendomsret, finansielle data og andre følsomme oplysninger.
  2. Identificer potentielle trusler. Angiv potentielle sikkerhedstrusler, der kan opstå, når folk arbejder hjemmefra. Brug af ubeskyttede servere kan gøre risikoen for phishing og hacking større. At tage arbejdstelefoner og -computere ud af kontoret kan udsætte dem for tab, tyveri, beskadigelse og uautoriseret adgang.
  3. Udfør en konsekvensanalyse. Giv jer selv en sårbarhedsscore for, hvor sandsynligt det er, at I bliver ramt af et databrud. Skaf derefter adgang til de potentielle skader. Hvor mange følsomme data kan man få adgang til? Hvad ville omkostningerne være ved økonomiske tab og skade på omdømme?
  4. Reducer og administrer risici. Hvad vil I gøre for at reducere risikoen for og effekten af et databrud? Hvilken sikkerhedskontrol, -politikker, -procedurer, -træning kan I forberede?

Ved at udføre en grundig risikovurdering kan I identificere og afbøde almindelige sikkerhedsrisici forbundet med fjernarbejde. Dette forbereder jer på at beskytte folks personlige data og andre værdifulde dataaktiver på en fleksibel arbejdsplads.

Uddan og træn jeres medarbejdere i datasikkerhed

Alle jeres anstrengelser og den bedste politik betyder intet, hvis medarbejderne ikke forstår dem. Awareness-træning er afgørende for enhver organisation, men det er især vigtigt på en når man gør brug af hjemmearbejdsplads, hvor medarbejdere kan bruge en række forskellige enheder og netværk til at få adgang til virksomhedens datasystemer. Her er nogle områder, der bør inkluderes i awareness-træningen hos en fleksibel arbejdsplads:

Phishing og social engineering
Uddan medarbejderne i, hvordan de identificerer og reagerer på phishing-e-mails og andre social engineering-angreb. Giv eksempler på almindelige phishing-e-mails. For eksempel e-mails, der ser ud til at være fra en pålidelig kilde, men som ikke er helt rigtige. Tilskynd medarbejderne til at rapportere mistænkelige e-mails.

Adgangskoder
Understreg vigtigheden af stærke adgangskoder og multi-faktor autentificering. Tilskynd medarbejderne til at bruge unikke adgangskoder til hver konto og til at ændre adgangskoder regelmæssigt. Giv vejledning i, hvordan man opretter stærke adgangskoder, og hvordan  administrerer adgangskoder.

Sikkerhed på arbejdsenheden
Giv vejledning i, hvordan man holder deres enheder sikre. Dette inkluderer bærbare computere, smartphones og tablets. Tilskynd medarbejderne til at bruge enhedskryptering, installere antivirussoftware og holde software opdateret.

Faren ved offentlig Wi-Fi
Advar medarbejderne om risiciene ved at bruge offentlige Wi-Fi-netværk, såsom dem i kaffebarer eller lufthavne. Tilskynd til brug af et virtuelt privat netværk (VPN), når man får adgang til virksomhedsdata via offentligt Wi-Fi.

Datahåndtering
Give vejledning i, hvordan man håndterer følsomme data på en hjemmearbejdsplads, herunder korrekt opbevaring og transmission af data. Understreg brugen af sikre fildelingsværktøjer og brugen af kryptering ved overførsel af følsomme data.

Hændelsesrapportering
Tilskynd medarbejdere til at rapportere alle sikkerhedshændelser, såsom mistede enheder, formodede databrud eller andre sikkerhedshændelser. Giv klar vejledning om, hvordan man rapporterer hændelser, og hvem man skal kontakte fra deres hjemmearbejdsplads.

Hold jeres awareness-træning opdateret mod de nyeste trusler. Sørg for regelmæssig at genopfriske reglerne for at sikre, at medarbejderne er opmærksomme på de seneste sikkerhedstrusler, og hvordan de beskytter sig mod dem.

Sådan kan I behandle følsomme data sikkert på en hjemmearbejdsplads

Den nye fleksible arbejdsplads med hjemmearbejdspladser kræver, at virksomheder tager en proaktiv tilgang til databeskyttelse. Implementering af adgangskontrol, kryptering, dataopbevaring og dataminimering er nogle af de rette tiltag. Udfør regelmæssige risikovurderinger og oplær jeres medarbejdere. Kombination af alle disse fremgangsmåder kan reducere risikoen for databrud og forbedre jeres beskyttelse af følsomme data.

De rigtige værktøjer kan gøre det meget nemmere. DataMapper lader jer overvåge, hvordan jeres medarbejdere behandler følsomme data på en hjemmearbejdsplads – eller hvilket som helst andet sted i verden.

Sebastian Allerelli

Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn