Praktiske værktøjer til efterlevelse af EU-persondataforordningen

EU-persondataforordningen er en juridisk tung opgave, og mange har derudover ikke overblik over, det it-sikkerhedsmæssige aspekt.

Praktiske værktøjer til efterlevelse af EU-persondataforordningen

Hos Dubex oplever vi, at flere nu er kommet i gang med forberedelserne til EU-persondataforordningen. De har efterhånden fået overblik over det juridiske arbejde, men mangler indsigt i de praktiske værktøjer, der sikrer efterlevelse. Blandt andet har det i forbindelse med gap-analyser hos flere kunder, vist sig, at især loghåndteringen er mangelfuld flere steder.

”Loghåndtering har længe været best practice inden for informationssikkerhed, men vi oplever, at mange virksomheder har udfordringer med både det tekniske og det procesmæssige aspekt i forhold til loghåndteringen”, forklarer Lars Boye, Senior GRC Consultant hos Dubex og fortsætter:

”Ofte mangler virksomheden en egentlig løsning, der kan indsamle og korrelerer logdata. Derudover er det vigtigt at huske, at virksomheden også skal etablere en proces for overvågning af logs eller reaktion i tilfælde af et sikkerhedsbrud.”

Især overvågningen af logs og reaktionen på sikkerhedshændelser bliver væsentligt i relation til forordningen:

”Kravet om Breach Notification stiller store krav til, at man kan reagere på et sikkerhedsbrud og dokumentere, hvad der er sket”, forklarer Klaus Kongsted, der er ansvarlig for den DPO-uddannelse, som Dubex tilbyder i samarbejde med advokatfirmaet Delacour.

”Vi oplever, at selvom vi stadig afventer de danske vejledninger, er der ved at være et godt grundlæggende overblik over de juridiske krav. Til gengæld kæmper mange med koblingen mellem juraen og it-sikkerheden. Netop dén kobling er vigtig, når virksomhedernes skal dokumentere, at de har styr på deres data og ved, hvad der sker med dem (data accountability)”, udtaler han og fortsætter:

”Når det er sagt, så ved vi også, at flere virksomheder har styr på koblingen, men blot mangler de rette kompetencer og/eller ressourcer til at håndtere det it-sikkerhedsmæssige, f.eks. i forbindelse med logovervågningen og beredskabet.”

Relevante værktøjer

Udover loghåndteringsværktøjer er der en række andre tekniske og procesmæssige værktøjer, der er værd at overveje i relation til forordningens krav om data accountability.

”Data Loss Protection (DLP)-løsninger, der forebygger datalækager og compliance-værktøjer, herunder ISO 27001-standarden, er yderst relevante at overveje. Derudover forventer vi et øget fokus på systemer til bruger- og adgangsstyring (IAM/IDM), da det er vigtigt at styre og kunne dokumentere, hvem der har adgang til hvilke data. Specielt privilegerede brugere, altså administratorer af systemerne, er en udfordring at håndtere sikkerhedsmæssigt Endelig er der generelt en øget interesse for awareness og udvikling af medarbejdernes viden om trusler. I forbindelse med forordningen er det desuden vigtigt, at medarbejderne ved, hvad de må med data.”, fortæller Klaus Kongsted, og fortsætter:

”Endelig er det nødvendigt med et effektivt sikkerhedsberedskab, herunder især tydeligt definerede processer for, hvem der gør hvad i tilfælde af en sikkerhedshændelse”, forklarer Klaus Kongsted og slutter:

”Det er nemt at købe sig fattig i teknologiske løsninger, men det er vigtigt, at løsningerne matcher virksomhedens behov – der er ingen løsning, der passer til alle organisationer. Derfor anbefaler vi, at man tænker stort, men starter småt. Det vigtigste er, at tage udgangspunkt i forretningens behov og ambitioner.”

Få indblik i nogle af værktøjerne

I samarbejde med Check Point afholder Dubex et formiddagsseminar om forordningen og nogle af de praktiske værktøjer, der kan bruges til at sikre efterlevelse.

Seminaret afholdes den 20. juni fra kl. 8.30-13.00 hos Dubex i Søborg. Deltagelse er gratis, men kræver tilmelding.

Kontakt Dubex her eller på tlf. 3283 0430 hvis du vil vide mere om, hvordan din organisation bliver klar til EU-persondataforordningen. Du kan også tilmelde dig Dubex Security & Risk Management Update den 1. juni, hvor du bl.a. kan høre, hvordan andre virksomheder og organisationer har grebet opgaven an.