Event i november: NIS2-compliance i praksis med erfarne eksperter
Risikostyring er en kritisk del af din GDPR-compliance. At begrænse risikoen for de registrerede er et ansvar, som alle organisationer deler.
Men at styre og begrænse risici kan føles som at køre på arbejde i myldretiden:
Overvældende. Og selv de mindste fremskridt tager en evighed.
Sådan behøver det ikke at være. Det vigtigste er, at du gør dit bedste for at strukturere og prioritere din indsats.
Og efter at have læst dette blogindlæg vil du vide, hvordan du gør det, når vi giver dig svarene på:
Risikostyring handler om at identificere og håndtere potentielle trusler i henhold til relevante love eller rammeværk. De trusler kan dukke op hvor som helst og viser sig ofte som finansielle risici, juridiske risici, strategiske risici, ulykker eller endda naturkatastrofer.
Set fra et GDPR-perspektiv bestemmes alvorligheden altid af den risiko, det udgør for den registrerede.
Det er vigtigt at vurdere dine risici, så du ved, hvordan du sætter de rigtige sikkerhedskontroller (også kaldet sikkerhedsforanstaltninger) op og på den måde kan afbøde dem.
Risikostyring i GDPR er vigtigt, fordi du skal beskytte brugernes persondata og ret til privatliv. Det kan du kun gøre, hvis du har den rette sikkerhed på dine aktiver.
Et aktiv er alt, materielt eller immaterielt, som kan gøre skade, hvis det udsættes for en trussel.
Kendte eksempler på aktiver er IT-systemer, behandlingsaktiviteter, enheder som mobiltelefoner eller computere, data og kontorets Wi-Fi-netværk.
Ud over den primære årsag ovenfor er risikostyring også vigtig, fordi du:
Der er mange fremgangsmåder, som organisationer kan følge til at lave risikovurderinger, og der er ingen omfattende tjekliste.
Vi foreslår dog, at du bruger ISO 27005 – en international standard, der kan hjælpe organisationer med at styre deres informationssikkerhed, cybersikkerhed og beskyttelse af privatlivets fred.
Det er også den standard, som vores 5-trins-tilgang til risikovurdering er baseret på.
Vi anbefaler disse 5 trin, når du laver en risikovurdering af dine aktiver:
Først og fremmest bør du identificere trusler for at kunne håndtere relevante og/eller potentielle risici.
Altså, risikoen ved at behandle specifikke data.
Dette første trin kan virke overvældende. Især hvis du er i en virksomhed, der har mange aktiver.
For at overkomme denne udfordring råder vi dig til at lave en foreløbig evaluering af dine aktiver. Det kan du gøre ved at lave et groft skøn over konsekvensen og sandsynligheden for worst-case-scenarie for et givet aktiv.
For eksempel:
Hvis et bestemt IT-system ikke bruges til at behandle personoplysninger, vil den anslåede konsekvens af et brud på datasikkerheden sandsynligvis være lav.
Hvis du på den anden side bruger et IT-system til at behandle følsomme data, vil den anslåede konsekvens af et databrud sandsynligvis være alvorlig.
Hvis sandsynligheden for, at det sker, på samme tid er stor, vil dit aktiv have en høj risiko – og dermed placere sig i det røde område i risikoscoren nedenfor:
Når du har lavet et groft skøn over alle dine aktiver, har du et overblik over dine højrisiko-aktiver.
Med dette overblik har du nu, hvad du skal bruge for at følge 80/20-reglen og kan svare på dette spørgsmål:
Hvilke 20% af mine IT-systemer kan stå for 80% af de risici, som jeg skal beskytte mine registrerede mod?
Så bør du starte din risikovurdering med disse 20%.
Du kan argumentere for, hvorfor du prioriterer visse aktiver, leverandører og IT-systemer frem for andre i dine risikovurderinger.
Som det næste trin vurderer du sandsynligheden for, at en trussel bliver til virkelighed. I dette tilfælde skal du overveje flere aspekter. Disse omfatter truslens såkaldte kapacitet.
For eksempel:
Sandsynligheden for, at din organisation bliver offer for hackere, afhænger af motivationen og færdighedsniveauet hos de personer, der går efter dig.
Hvis din organisation sandsynligvis vil blive angrebet af en nationalstat, som bruger mange ressourcer på cyberangreb, bør sandsynligheden være større, end hvis de potentielle hackere optræder som enkeltpersoner.
Som det næste trin skal du vurdere konsekvensen og sandsynligheden for hver trussel, der er relateret til dit aktiv. Så ligesom du vurderede den samlede risiko for hvert aktiv i trin 1, skal du nu gøre den samme proces, men for hver trussel, der er forbundet med dine aktiver.
Hvis et hackerangreb forårsager et databrud, bør du vurdere konsekvenserne for den registrerede, og hvad det betyder, hvis de persondata, der behandles om dem, mister deres fortrolighed, tilgængelighed og/eller integritet.
Når du har vurderet konsekvenserne og sandsynlighederne for alle dine trusler, kan du få et overblik som dette:
Trusler i de grønne områder er generelt sikre.
Derimod skal du være opmærksom på truslerne i de gule områder og overveje bedre sikkerhedskontroller.
Endelig har truslerne i de røde områder brug for din opmærksomhed med det samme, og du skal sørge for den bedst mulige sikkerhedskontrol så hurtigt som muligt. Og det fører os til næste trin.
Det fjerde trin handler om at beskrive din sikkerhed og revurdere din risikoscore.
At beskrive sikkerheden omkring en trussel kan involvere eksisterende sikkerhedskontroller og dem, du planlægger at implementere for at mindske en risiko.
Det kan være sikkerhedskontroller, der kan forhindre en hacker i at få adgang til dine systemer, og at du mindsker risikoen ved fx at sikre kryptering, regelmæssige softwareopdateringer eller bevidstgørelse og uddannelse af medarbejdere.
Når du har beskrevet og implementeret dine sikkerhedsforanstaltninger, har du sænket risikoniveauet så meget som muligt.
Du vil dog stå tilbage med en såkaldt restrisiko. Om dette risikoniveau er acceptabelt, afhænger af din specifikke organisation, branche osv.
Uanset viser din restrisiko effektiviteten af dine eksisterende og implementerede sikkerhedskontroller.
Disse bør være tydelige i risikoscoren, når du har revurderet, da truslerne vil have flyttet sig til de grønne/sikrere områder:
Hvis du stadig finder nogle trusler i det røde område, bør du genoverveje dine sikkerhedskontroller på disse, fx ved at spørge dig selv, om du skal vælge et andet system eller finde et supplerende system, der mindsker risikoen.
Som enhver anden del af dit compliance-arbejde er risikostyring en løbende ting.
Når din virksomhed fx vokser, vil du naturligvis behandle data om flere mennesker, da du får flere medarbejdere og flere kunder.
Konsekvensen af et databrud på 2.000 personers persondata er mere alvorlig sammenlignet med et databrud, der ‘kun’ involverer 100 personer.
Andre grunde til at lave risikostyring og sikre konstant compliance er, at der bliver opfundet nye teknologier, hvilket betyder, at den måde, du behandler data på, også ændrer sig. Desuden bliver hackere ‘bedre og bedre’, og trusselsbilledet ændrer sig, hvilket betyder, at dine systemer og sikkerhedsforanstaltninger også skal være bedre.
Når du har gennemgået dine trusler, bør du selvfølgelig opdatere dine sikkerhedsforanstaltninger for at mindske risici.
Uanset om vi taler med kunder, der er ‘grønne’ eller erfarne indenfor GDPR, står de alle over for den samme udfordring, når det gælder risikostyring:
Det tager tid.
For du skal nærmest opfinde den dybe suppetallerken igen, når du skal beskrive dine risici. Det er svært at finde ud af, hvad der er den “rigtige” måde at gøre det på, og hvornår en beskrivelse er tilstrækkelig.
Hvis du vil begrænse den tid og de penge, du bruger på dén del, har vi måske den rigtige løsning til dig:
ComplyCloud AI – det eneste værktøj, der tilbyder AI-drevne forslag til risikovurderinger.
Det betyder, at ComplyCloud AI hjælper dig med at automatisere beskrivelserne af risici, trusler og sikkerhedskontroller i din virksomhed – og forsikrer dig om, at du laver nøjagtige risikovurderinger.
Udfyld formularen