Dataskyddshandbok för mindre- och medelstora företag

Relevanta dokument
Policy för användande av IT

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

SÅ HÄR GÖR VI I NACKA

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Bilaga 1 - Handledning i informationssäkerhet

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Generell IT-säkerhet

INFORMATIONSSÄKERHETSÖVERSIKT 1/2010

SÄKRA DIN VERKSAMHET OAVSETT VAR DEN TAR DIG. Protection Service for Business

Administrativ säkerhet

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Handledning i informationssäkerhet Version 2.0

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Sekretesspolicy för Haeger & Partner Recruitment and Outsourcing AB

Översikt av GDPR och förberedelser inför 25/5-2018

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Dina personuppgifter och hur vi hanterar dem

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

HUR MAN LYCKAS MED BYOD

Säker hantering av mobila enheter och portabla lagringsmedia

FÖRHINDRA DATORINTRÅNG!

Integritetspolicy. Vi tar din integritet på allvar. Vilka personuppgifter lagrar och hanterar vi?

Ta ett tryggt kliv till molnet

Säkerhetskopiera mobilen

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Anmälda personuppgiftsincidenter 2018

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Riktlinjer för Informationssäkerhet

Snabbstartguide för McAfee VirusScan Plus

SVERIGES ADVOKATSAMFUNDS GRANSKNINGSRAPPORT FÖR ADVOKATBYRÅER

3. Regler för användandet av den personliga datorn

F-Secure Anti-Virus for Mac 2015

Informationssäkerhet

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

LAJKA-GUIDE. Så totalraderar du. din mobil eller surfplatta. 7 Säker utrensning före försäljning 7 Smidigt och enkelt 7 För Android, Iphone och Ipad

Tar du risken? EFFEKTIV INFORMATIONSSÄKERHET GENOM RISKPERSPEKTIVET

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

SÄKERHETSBILAGA FÖR TJÄNSTEPRODUCENTER

som finns i skolan. Det hjälp. använder datorn. behandlad.

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar

Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Vi har här sammanställt hur vi samlar in och hanterar dina personuppgifter i enlighet med Dataskyddsförordningen (GDPR).

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Kapitel 1: Komma igång...3

3. Regler för användandet av den personliga datorn

Analyser. Verktyg för att avgöra vilka skydd som behövs

GDPR. General Data Protection Regulation

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

För dig som kund 8. Inledning 2 Personuppgifter 3 För dig som kandidat 4

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Finansinspektionens författningssamling

IT-säkerhet Externt och internt intrångstest

Regler för användning av Riksbankens ITresurser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhet, ledningssystemet i kortform

Hur vi behandlar dina personuppgifter

Finansinspektionens författningssamling

Säkerhetspolicy rev. 0.1

Toshiba EasyGuard i praktiken:

Sekretesspolicy. Insamlingen syftar till att stödja vårt arbete inom ett antal områden:

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Vi inhämtar uppgifter automatiskt Vi inhämtar inte uppgifter automatiskt.

SÄKRA UPP OCH ADMINISTRERA DINA MOBILA ENHETER Freedome for Business

vid Geritrim vård- och rehabiliteringsenhet

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Trender inom Nätverkssäkerhet

Toshiba EasyGuard i praktiken: tecra a5

Modernt arbete kräver moderna verktyg

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Föreskrift om televerksamhetens informationssäkerhet

iphone/ipad Snabbguide för anställda på HB

Regler för lagring av Högskolan Dalarnas digitala information

Lathund för tipsare. Vill du lämna information till media? Läs det här först för att få koll på läget.

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

SÄKERHETSLÖSNINGAR KOPIATORER/SKRIVARE/MULTIFUNKTIONSSYSTEM BEPRÖVADE LÖSNINGAR FÖR ÖKAD NÄTVERKSSÄKERHET SHARP DOCUMENT SOLUTIONS

Säkra trådlösa nät - praktiska råd och erfarenheter

Denna informationstext förklarar hur Bad & Fritid AB hanterar dina personuppgifter och vilka rättigheter du har. Informationen vänder sig till dig som

DIG IN TO Nätverkssäkerhet

Datasäkerhet. Sidorna i kursboken

F-Secure Mobile Security. Android

Informationssäkerhetspolicy för Ånge kommun

Bilaga 3 Säkerhet Dnr: /

Integritetspolicy för webbplats

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

Integritetspolicy Privatläkarna

Säkerhet vid behandling av personuppgifter i forskning

DATASKYDDSPOLICY. Godkännande av denna policy När du använder våra produkter och tjänster, accepterar du denna Dataskyddspolicy och vår Cookiepolicy.

Utredning om ö ppet wifi för besökare på bibliotek

1.1 Allt innehåll i Tjänsten, såsom grafik, bilder, logotyper och mjukvara omfattas av Leverantörens eller tredje mans upphovsrätt.

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Vilka är Ibas Kroll Ontrack? Räddning av brända hårddiskar Oförutsedda utgifter Norrmän i rymddräkt

Transkript:

Dataskyddshandbok för mindre- och medelstora företag

Nya möjligheter, hot och skyldigheter Cyberkriminalitet har ökat och sannolikheten för att bli attackerad har ökat under de senaste åren. Utpressningsprogram som WannaCry och Petya syftar till att utnyttja oskyddade system och säkerhetshål, och dra finansiell nytta av användarinformation. I media skrivs med stora rubriker om säkerhetsattacker. Några av berättelserna är överdrivna, men risker är dock reella. Statistik från Kommunikationsverket och större säkerhetsleverantörer indikerar också, att säkerhetsmiljön har blivit mera utmanande. Myndigheterna syftar till att förbättra behandling av personuppgifter i företag med EU:s sekretesspolicy (GDPR) som tillämpas från och med den 25 maj 2018. Informationssäkerhet är dock inte bara en tråkig skyldighet Välskött informationssäkerhet medför exakthet för hela företaget och ger bättre och säkrare service till kunden. Genom att ta hand om grunderna kan risker minimeras och skyldigheter klaras av enkelt.

Utvecklingen av data skyddsmiljön 2017 vs. 2016 Följande lägesbedömningar baserar sig på en gemensam bedömning av Kommunikationsverkets Cybersäkerhetsavdelning, som jämför situationen 2017 med året 2016. Källa: Kommunikationsverket, Tietoturvan vuosi 2017 publikationen Allvarligt hot Störande hot Milt hot Inget hot Hotbildsbedömning: Bedrägerier och phishing År 2017 blev bedrägerier alltmer vanligare och hotet om att bli utsatt för webb-bedrägeri ökade från 2016. Påverkan Ryktesproblem Kundernas förtroende Pengar Fakturering och betalningstransaktioner Information Användarnamn Lösenord Företagsinformation Indirekt inverkan Information används för brottsliga syften Hotbildsbedömning: Sårbarheter och skadliga program Förändringar i riskbedömning: Utpressningsprogram har blivit vanligare och utgör ett allvarligt hot mot tillgängligheten och nyttan av organisationsdata. Påverkan Ryktesproblem på grund av sårbarheter i service/produkt Pengar Tillgänglighet av tjänster Utpressning Information Spionage Indirekt inverkan Rekrytering av webbsidor för distribution av skadliga program

Hotbildsbedömning: Nätverkspionage Realiseringen av hot riktade mot informationssystem har höjt hotbilden. Påverkan Inaktivering av företagens informationssystem sabotage Pengar Indirekta följder återspeglas i att man misslyckas anbudstävlingar och i produktjämförelse Information Anbudstävlingar, innovationer och kundinformation kan vara nyttig information för utomståend Indirekt inverkan Intressanta kunder ökar risken för att man indirekt används till att t.ex. stjäla information Hotbildsbedömning: Denial-of-service attacker Observationer av denial-of-service attacker 2017 har inte förändrats från hotbildsbedömningen för föregående år. Det viktigaste är att lägga märke till denial-of-service attacker vid riskbedömning av företag och skydd av IoT-utrustningen. Påverkan Eventuella denial-of-service attacker måste beaktas i riskbedömningen Pengar Utpressningsförsök men inga attacker Om en webbtjänst blockeras, kan den påverka affärsverksamheten Information Riskerar inte informationen Indirekt inverkan Oskyddade IoT-enheter eller felaktigt konfigurerade tjänster (t.ex. DNS eller NTP) utnyttjas Hotbildsbedömning: Störningar i nätet Medborgare, företag och statsförvaltningen kunde använda inhemska kommunikationsnät mera effektivt än året innan, eftersom tjänsterna fungerade med mindre antal störningar än tidigare. Nätverkshoten minskade. Påverkan Intern kommunikation inom organisationen Pengar Tillgänglighet av tjänster Egna tillgängligheten Information Hindrar kommunikation Indirekt inverkan Ingen risk

Hotbildsbedömning: Sakernas internet (IoT) Elektroniska tjänster produceras eller används mer och mer genom intelligenta enheter. Risker och hot av riktad mot staten och företag har närmat sig varandra. Särskilt kommer säkerhetssituationen för konsumentenheter att försämras. Situationen blir bättre först efter år. Påverkan Denial-of-service attacker genom IoT-bottnät stör företagens affärsverksamhet Pengar Utpressningsprogram och produktion av virtuella valutor med IoT-enheter Information Data som samlas in av enheter är föremål för dataintrång Information blir offentlig av misstag Indirekt inverkan Användning av enheter för denial-of-service attackker Genom oskyddade IoT-enheter kan man hamna till det interna nätverket

De vanligaste data- säkerhetsproblemen i SME-företag Ledningens förståelse av datasäkerhetsrisker - vad är de och hur stora kostnader kan uppstå, om det går dåligt? Brist på centraliserad kontroll och hantering, uppfattning av helhetssituationen är otillräcklig Centraliserad och systematisk korrigering av sårbarheter i programvara saknas Datasäkerhetsproblem upptäcks inte på grund av otillräcklig övervakning Många outsourcingar komplicerar data-administration E-postrisker: phishing, skadliga länkar och bilagor, sändning av konfidentiell data okrypterad Obegränsade användarrättigheter Okunnighet eller oaktsamhet av användare Användning av svaga lösenord Användning av standardlösenord Risker med öppna wifi-anslutningar Oskyddade mobila enheter Mobilrelaterade risker, en enhet kan bli stulen eller den kan försvinna IOT-enheter utan datasäkerhet Slumpmässig och bristfällig säkerhetskopiering Många outsourcingar komplicerar data-administration Oklara ansvar Svagt skydd mot hot via Internet Ofullständig administration av installation och införande av terminal- och nätverksutrustning Icke tillförlitlig och systematisk tömning av utgående utrustning

Invändningar och frågor om datasäkerhet Säkerheten hos våra enheter har redan uppdaterats Vet du säkert, att datasäkerheten är uppdaterad på alla enheter i företaget? Kan du följa det centralt, och bevisa det, när myndigheten frågar? Företag har ofta utrustningar, anslutningar eller metoder, vars informationssäkerhet inte har beaktats. Ingen hemlig information, och vår data intresserar inte någon Kan du säga detsamma för dina kunder och partners? I ditt företags nätverk, molntjänster, datorer, skrivare, mobila enheter och IoT-enheter finns antagligen åtminstone kontaktuppgifter till dina kunder, eventuellt även annan konfidentiell information. Även myndigheterna (GDPR) kräver att du kan bevisa att du har vidtagit nödvändiga åtgärder för att säkerställa säkerheten. Vilken information är värdefull? Personuppgifter i olika former: Patientinformation, kundregister, anställningsregister, e-handelsorder, offertbegäran, webbformulär Interna dokument i företaget: anbud och rapporter Affärshemligheter: framtidsplaner, budgeter, analyser, produktutvecklingsdokument Annan värdefull information: bilder och videor

Vem ansvarar för datasäkerheten? Är det någon? Det är bra, om företaget har gemensamma säkerhetsmetoder och personer som ansvarar för helheten och lösningar som används. Varje anställd i företaget skall dock se till, att det dagliga arbetet är säkert. Det har inte varit några problem med virus Avancerad skadlig kod fungerar ofta i bakgrunden utan att man märker den. I ett rent nätverk kan det finnas långvariga skadliga program, som till exempel sänder ut data för vidare exploatering. Antivirus är bara en del av en funktionell datasäkerhetslösning. Behöver vi ett datasäkerhetsprogram också för Mac-datorer? Mac-datorer har också utbredda skadliga program, och deras antal växer stadigt. Bedrägerier, phishing och dataförlust är en risk oavsett operativsystemet. En mobil enhet kan inte förorenas. Antalet skadliga program för mobila enheter är signifikant, särskilt för Android. En stor risk är att data hamnar i fel händer genom bedrägerisidor - utan att enheten ens är förorenad. En risk är även öppna Wifi-nätverk och försvinnande av en enhet, då man måste kunna låsa eller tömma enheten vid behov. Varför skulle man inte kunna använda en konsumentprodukt i ett företag? Företagsprodukten kan hanteras centralt. Det kan användas för att bestämma säkerheten i terminalutrustningen. Någon måste vara ansvarig för helheten, eftersom om appar och inställningar uppdateras manuellt från enheten, finns det en stor risk för misstag. Centraliserad hantering ger besparingar genom effektivare uppdaterings- och hanteringsprocesser, även i små organisationer. Dessutom kan information och rapporter för myndigheter fås enkelt från ett ställe för alla enheter.

Steg till bättre datasäkerhet 1. Skapa metoder och roller, utbilda personer 2. Förenkla datahantering 3. Hantera lösningar centralt 4. Förbered dig för problemsituationer 5. Kartlägg och övervaka kontinuerligt

1. Skapa metoder och roller, utbilda personer När alla anställda och partners i företaget känner till en tydlig handlingsplan och instruktioner för olika situationer, minskar det risker och gör arbetet tydligare och snabbare i oväntade situationer. Vilken information är värdefull? Vilken information lagras och var? Vem är den, som behandlar informationen och i vilka situationer? Vilka krav ställer de för praxis och verktyg? Vilka datasäkerhetsrisker har företaget? Hur hanterar man problemlägen? Tillgångsrättigheter gör det lättare att skapa en lämplig roll för alla, då information endast behandlas av dem som behöver dem, vilket minskar risken för både avsiktligt och oavsiktligt missbruk. Dokumentation hjälper dig att hålla dig på kartan över företagets säkerhetsstatus, samt bevisa för kunder och myndigheter att nödvändiga säkerhetsåtgärder har vidtagits. 1 Definiera en lämplig säkerhetsnivå för ditt företag Kom överens om metoder, ange nödvändiga rättigheter för användare Ta hand om kunskap, utbilda personalen regelbundet Dokumentera lösningar som har använts

2. Förenkla datahantering Tänk på vilken information och var det är vettigt för ditt företag att spara, och hur skall informationen delas. Ju mindre lagringsplatser det finns, desto lättare är informationen att hantera, skydda och radera. Observera hur information delas och hanteras. Till exempel känslig information kan inte behandlas på offentliga platser eller skickas okrypterad via e-post. Onödig känslig information är förnuftigt och i vissa fall obligatoriskt att förstöra, när de inte längre behövs. På så sätt utgör de inte längre någon risk och tar inte upp diskutrymme i nödan. Använd programvara som är certifierad för dataförstörelse. Raderingsfunktion, formatering eller fabriksåterställning av operationssystemet raderar inte data från datorn, minnet eller mobilenheten. 2 Förenkla datahanteringen Förstör känslig information, när de inte längre behövs Förstör information med lämplig programvara

3. Hantera lösningar centralt Centraliserad hantering möjliggör enklare implementering, kontinuerlig övervakning och automatisk uppdatering av enheter och tjänster enligt de nödvändiga profilerna. Automatisering och inställningar minskar antalet mänskliga fel. Var särskilt uppmärksam på att även mobila enheter, nätverksenheter och IoT-enheter är ordentligt skyddade, inställningar är korrekta och att standardlösenord har ändrats. Nätverk, nätverksenheter och konfiguration måste väljas och implementeras korrekt och hållas uppdaterade. Hantering Spårning Rapporter 3 Hantera och uppdatera alla terminalanordningar och tjänster centralt Använd automatiska installationsprofiler och uppdateringar Ta hand om nätverkssäkerhet

4. Förbered dig för problemsituationer Vad händer det om ett utpressningsprogram krypterar data, känslig information läcker utanför företaget, företagsservern går sönder, eller ett minneskort med viktig information försvinner? Planerad förberedelse för problemsituationer gör verksamheten snabbare, om det händer något oväntat. Hårddiskar och minne går sönder relativt lätt, så det är bra att lagra information, som är viktig för ditt företags prestanda automatiskt i mer än ett system, till exempel förutom arbetsstationen i din företagsserver eller molnserver, som också har säkrats. Det är viktigt att testa funktion av säkerhetskopior med lämpliga intervall för att säkerställa en snabb återgång till normal daglig ordning vid problemsituationer. Lagringsmedia som är lätt att ta med som USB-minnen och bärbara diskar skall skyddas med ett lösenord och kryptering, så att data inte hamnar i fel händer när lagringsmedian försvinner. 4 Automatisera säkerhetskopiering Testa dataåterställningen och skapa en återställningsplan Gör en plan för problemsituationer

5. Kartlägg och övervaka situationen kontinuerligt Det räcker inte att saker korrigeras en gång. Datasäkerhetsmiljön förändras ständigt, så utrustning, tjänster, rutiner och kompetensnivåer måste hållas aktuella. Automatiserade övervaknings- och kartläggningsverktyg hjälper dig att hålla dig uppdaterad med ändringar och eventuella brister. Det är viktigt att ha en sakkunnig person som ansvarar för informationssäkerheten, - antingen företagets egen säkerhetsansvarig eller en extern expert. Det är bra att dela egna observationer med andra människor, så kan även andra människor förhindra problem i tid. 5 Kartlägg och korrigera sårbarheter i nätverket regelbundet Automatiserade spårnings- och kartläggningsverktyg Rapportera förändringar och situationer Ge ansvaret för att upprätthålla informationssäkerhet åt en expert

Testa säkerhetsnivån i ditt företag Testen hjälper dig att utvärdera säkerhetsnivån i ditt företag, och ger samtidigt tips om vilka saker som ska uppmärksammas i datasäkerheten i ditt företag. Samma grundregler fungerar för varje företags informationssäkerhet. Gör testen här Om du vill veta, hur saker, som testen har lyft fram, borde i praktiken hanteras i ditt eget företag, fråga mer!

Tack för ditt intresse! För mer information, besök din närmaste Data Group -affär samt datagroup.fi Kommunikationsverket: Informationsssäkerhet nu! Kommunikationsverket: Informationssäkerhetsanvisningar Centralhandelskammaren: Tietoturvaopas yrityksille

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss