Informasjonssikkerhet: Hva er siste nytt?

Det britiske advokatfirmaet Walker Morris, franske Centre Technique de la Gendarmerie Nationale, Vodafone GmbH og Røde kors i Bayern har en ting til felles: Internasjonalt anerkjente sertifikater, som ISO/IEC 27001, garanterer at selskapet eller organisasjonen oppfyller grunnleggende krav til informasjonssikkerhet og at informasjonssystemet er tilfredsstillende. Disse kravene inkluderer alle målinger og dokumentasjon som kreves for å kunne yte optimalt personvern, garantere integriteten til driftsdataene og sikre at bedriftens IT-systemer er tilgjengelige, og inkluderer risikoanalyse og kriseplaner for systemet.

De ovennevnte selskapene viser at det er stadig viktigere å ta tak i personvern og datasikkerhet, og at lederne innen en rekke industrier arbeider mot dette. EUs nye personvernforordning (GDPR), som trådte i kraft 25. mai 2018, slår fast retten til informert samtykke. Internasjonale sertifikater, som ISO/IEC 27001, hjelper selskapene å vurdere den aktuelle statusen for selskapenes data- og IT-sikkerhet, utvikle effektive sikkerhetsstandarder og følge disse standardene i det daglige arbeidet.

Før vi ser nærmere på sertifikatet, gir vi en kort oppsummering av personvern og datasikkerhet, som er to begreper vi ikke bør forveksle.

Personvern – retten til informert samtykke

EUs personvernforordning, GDPR, regulerer grunnleggende rettigheter knyttet til behandling av personopplysninger i Europa, og setter dermed en ny, internasjonal standard. Personvern skal garantere at alle innbyggere har rett til «informativt samtykke» og beskytte dem mot upassende bruk av opplysningene om dem. Europeiske selskaper har derfor nye forpliktelser knyttet til gjennomsiktighet og informasjon. Viktige tema er:

• datakonfidensialitet (dataene skal ikke være tilgjengelige for tredjeparter)
• dataintegritet (sikre at dataene ikke kan forfalskes)

og

• datatilgjengelighet og hvor robuste systemer og tjenester er

Personvern og datasikkerhet – hva er forskjellen?

I motsetning til personvern handler datasikkerhet om å beskytte dataene mot manipulering, tap, uautorisert tilgang og lignende – uavhengig av om dataene kan tilskrives en bestemt person eller ikke. Datasikkerhet handler derfor ikke om hvorvidt dataene innhentes og behandles (det er det personvern som dekker), men om hvilke tiltak som iverksettes for å beskytte dataene når de er innhentet. Begrepet «informasjonssikkerhet» dekker alle typer lagret informasjon.

Personvern og datasikkerhet er naturligvis knyttet sammen. Facebook-sjefen Mark Zuckerberg måtte nylig forsvare seg mot beskyldningene om datamisbruk, og har til og med rost EUs personvernforordning offentlig. Samtidig har han innrømmet at det kan ta flere år å rette opp alle dataproblemene de har i selskapet.

EUs personvernforordning (GDPR) – globalt vern?

EUs nye personvernforordning har fått en ledende rolle i verdenssammenheng. Det blir interessant å se hvordan datainnsamlingsselskaper i Europa implementerer den nye loven, for dataøkonomi er et viktig prinsipp innen personvern og retten til informativt samtykke. Constance Bommelaer de Leusse, administrerende direktør ved International Internet Society (ISOC), slår fast at det er nettopp her mange selskaper kommer til kort – når første prioritet ikke er beskyttelsen, men innhentingen av data.

Facebook er kjent for å ha hentet inn data fra rundt to milliarder brukere, og har sitt internasjonale hovedkontor i Irland. Kommer Europas personvernlover til å gjelde alle Facebook-brukere nå som de har blitt strengere enn de amerikanske? Selskaper som bryter EUs personvernforordning, blir straffet med gebyrer på flere millioner euro eller opptil 4 % av den årlige omsetningen. Selskaper, som Facebook og nettverket LinkedIn, kunngjorde nylig at administrasjonen, og dermed ansvaret for medlemmene og dataene, skulle flytte. De håper å hindre at ikke-europeiske brukere får samme rettighetene og mulighetene til søksmål som EU-borgerne. Bare de 370 millioner europeiske brukerne (av totalt to milliarder brukere) blir fortsatt knyttet til hovedkontoret i Irland.

Strukturert og tydelig sertifiseringsprosess

Personvern og sikkerhetsstandarder blir bare skikkelig effektive hvis de gjelder internasjonalt.

Det er et faktum at hver enkelt digitale applikasjon genererer data, og mengden på verdensbasis er fenomenal. Så lenge det ikke finnes et felles, internasjonalt personvern og sikkerhetsstandarder for alle bedrifter, vil personvern fortsatt være et problem, og innsamlingen, lagringen og håndteringen av data har potensielle sikkerhetsrisikoer.

Det vi trenger, er en effektiv, internasjonal struktur som overbeviser foretak og bedrifter om å overholde grunnleggende sikkerhetsstandarder. Dette er ekstra viktig med tanke på den nye utviklingen som involverer Industri 4.0. Bare internasjonalt anerkjente sikkerhetsstandarder for datahåndtering kan sikre at forretningspartnere, kunder og forbrukere får tillit til ny informasjonsteknologi og systemer på sikt.

Håndtering av informasjonssikkerhet: Hvilke organisasjoner arbeider aktivt for informasjonssikkerhet internasjonalt?

For øyeblikket finnes det flere organisasjoner som fokuserer på informasjonssikkerhet i Europa og resten av verden, og de samarbeider og utveksler informasjon. I første instans handler organisasjoner og institusjoner på nasjonalt nivå, som tyske Federal Office for Information Security (BSI). På europeisk nivå er European Union Agency for Network and Information Security (ENISA) en viktig organisasjon og samlingspunkt, og på internasjonalt nivå har vi International Organization for Standardization (ISO).

Prinsippet om informasjonssikkerhet finnes f.eks. i katalogene om grunnleggende IT-sikkerhet, som utgis av tyske Federal Office for Information Security (BSI), og i den internasjonale ISO 27001-sertifiseringen, hvor det eksplisitte målet er å beskytte informasjon. Det finnes også andre internasjonale sertifiseringer som gjelder både personer og produkter (f.eks. produktsertifikatet som utstedes i samsvar med Common Criteria).

ISO 27001-sertifisering – fordelene med å vise vei

I 2013 utførte ENISA en internasjonale kasusstudie om sikkerhetssertifiseringspraksis i Europa. Flere bedrifter i ulike størrelser (fra 11 til 5000 ansatte) deltok. Studien viste at det er flere gode grunner til å strebe etter sertifisering. I tillegg til bedring av håndteringen av sikkerhetskvaliteten er det også viktig å gjøre ansatte oppmerksomme på sikkerhet som felt og styrke selskapets markedsposisjon. Studien slo også fast at de direkte kostnadene for sertifiseringen vanligvis ikke overskred 10 000 €. Man må likevel ta hensyn til at forberedelsesperioden før første revisjon, inkludert vareopptelling, som vanligvis tar 6–12 måneder, også innebærer kostnader som avhenger av bedriftens aktivitetsområde og digitale nivå. Opplæring kan også være nødvendig, avhengig av stabens kunnskapsnivå.

Det er også verd å nevne at alle bedriftene i undersøkelsen fastslo at de var veldig fornøyd med valget av ISO 27001-sertifiseringen og at de var enig i utsagnet om at kostnadene for revisjonen og sertifiseringen var relativt lave sammenlignet med fordelene og profitten som bedriften oppnådde.

De positive erfaringene har tydeligvis blitt en snakkis. Mellom 2015 og 2016 økte antall utstedte ISO/IEC 27001-sertifikater med 20 % på verdensbasis, og det er nå gitt 33 290 sertifikater, i følge ISO. Dette er en positiv utvikling, for IT-sikkerhetsstandarder som er gyldige internasjonalt bidrar til å skape bærekraftige løsninger på globale utfordringer innen digitalisering, data og informasjonseksplosjon.

Konica minolta kan hjelpe deg med både GDPR og datasikkerhet.