IT-sikkerhet 28-04-2017

Bedriftsleder som ikke har hørt om GDPR?

For noen måneder siden blogget jeg om IT-bransjens buzzord. GDPR er helt klart et av disse. Hva betyr det egentlig for deg og din virksomhet?

Thomas Tømmernes
Thomas Tømmernes
Leder for IT-sikkerhet

GDPR står for General Data Protection Regulation.

Forenklet betyr GDPR:

Nye personvernforordninger ble nylig vedtatt i EU-parlamentet, og må implementeres innen mai 2018 i EU og EØS-landene:

  • «One continent, one law» – Et standardisert regelverk som tilrettelegger for e-handel i EU og EØS.
  • Gjelder alle virksomheter som behandler informasjon om enkeltpersoner.
  • Innebærer mer direkte regulering av databehandlere og strengere krav til innsamling og behandling av personopplysninger. Det legges vekt på å forebygge, fremfor å reparere skade.
  • Bøtenivået på brudd økes betraktelig – opp til fire prosent av selskapets årlige omsetning eller 20 millioner euro.
  • Høye bøter skal utgjøre en så stor forretningsrisiko for bedriften at det ikke «lønner seg» med en reaktiv IT-sikkerhetsstrategi, man må ha en proaktiv strategi.
  • Den finansielle risikoen ved utilfredsstillende IT-sikkerhet er såpass høy at den antagelig må adresseres i bedrifters revisjons- og årsrapporter.

Dette sier Datatilsynet du bør gjøre NÅ:

  1. Ha oversikt over hvilke person­opplysninger dere behandler
    Sørg for å ha oversikt over hvilke personopplysninger det er snakk om hvor de kommer fra og hva som er det rettslige grunnlaget. Dette er et krav som gjelder også etter dagens lov.
  2. Sørg for å oppfylle dagens lovkrav
    Overgangen til de nye reglene blir lettere om dere følger kravene som gjelder i Norge i dag. Det er også lurt med gode rutiner for internkontroll.
  3. Sett dere inn i det nye regelverket
    Du finner mer informasjon på Datatilsynets nettsider.
  4. Lag rutiner for å følge de nye reglene
    Gå gjennom rutinene dere har for behandling av personopp­lysninger og oppdater dem etter nytt regelverk der det trengs. Endringer i systemer og rutiner tar tid. Begynn allerede nå!

Hva sier advokatene?

Vår venn Advokat Rune Opdahl hos Wiersholm har holdt flere foredrag om temaet for Atea. Han spør: Hva gjør egentlig vår bedrift med GDPR?

Når jeg spør Ateas fremste sikkerhetsrådgiver om GDPR, Bjørn Tveøy svarer han at:

I Atea skal vi selvfølgelig bruke GDPR i vårt arbeid med å bedre sikkerhet i virksomhetene.

– Forordningen viderefører i betydelig grad de prinsippene vi finner i norsk personopplysningsrett i dag. Det norske datatilsynet har hatt en helt sentral rolle i ekspertgruppen som har bistått kommisjonen med utformingen av det nye regelverket, og har fått stort gjennomslag for sine synspunkter. Samtidig innebærer forordningen materielle endringer, både av grunnleggende og mer detaljert art.

Dette er også grunnlaget for Datatilsynets brosjyre om hvordan man skal forberede seg på ny personvernforordning:

For oss som jobber med IT-rådgivning og IT-sikkerhet

I løpet av få år har IT-infrastrukturen forandret seg radikalt, det samme gjelder trusselbildet. Samtidig blir tiltakene mer omfattende, krevende og dyrere.  

I følge Gartner Group vil investeringer i IT-sikkerhet vokse fra dagens 10 prosent av det totale IT-budsjettet, til 30-40 prosent i tiden framover.

Dette et en spådom Atea allerede ser konturene av

Flere og flere av våre kunder inviterer IT-sjefen og IT-sikkerhetssjefen inn på styrerommet. Mange har faste statusmøter rundt bedriftens tilstand og bevilger langt flere midler enn før for å ha tidsriktige sikkerhetsløsninger fra kjente produsenter som investerer i utvikling og big data for å kunne bekjempe truslene.

IT- sikkerhet er ikke hokus pokus, men det krever helt klart at man vet hva man driver med. Jeg anbefaler på det sterkeste at man forholder seg til de store aktørene i det norske markedet som evner å sette seg inn i din bedrifts totale IT-løsning og rådgi ut fra dette.

SIEM-verktøy er et must:

Buzzordet SIEM betyr Security intelligence and Sense Analytics.

Dette er løsninger som ser alt som skjer i nettverket og setter dette i system for å få alarm om brudd forekommer. Ofte sier vi at sikkerhetstenkning er oppbygget som en løk. Sikkerhet er IKKE punktløsninger,  man må tenke lagvis, og se helhet og sammenheng mellom de forskjellige teknologiene. J

Ateas mulighet til å hjelpe din virksomhet med både rådgivning, analyser og teknologi som hjelper din bedrift å være forberedt til GDPR.

Og er uhellet ute og du ikke har rukket å få ordnet med hverken avtale eller dataforsikring, kan du uansett benytte telefonnummer 03060 og vi vil hjelpe til å jage spøkelsene bort.

 

 

Inntil skrivelysten tar meg igjen,

@TTmmernes