GDPR kan hjelpe til med å gjøre IT-sikkerhet til en prioritet for bedrifter
Det er kanskje rett og slett i menneskets natur å tenke at det verste aldri kommer til å skje med oss, enten det er i våre personlige liv eller i yrkeslivet. Hvor mange mennesker kjenner vi som har foretatt dramatiske endringer i livsstilen sin og blitt sunnere etter en alvorlig sykdom eller skremmende helsehendelse?
Bedrifter er ikke noe unntak: Noen ganger tar det en alvorlig hendelse før store forandringer finner sted. Tall fra Security Capabilities Benchmark-studien for 2018, publisert i Cisco 2018 Annual Cybersecurity Report, viser at 91 % av EMEAR-selskaper som ble utsatt for brudd i fjor, gjorde betydelige forbedringer av retningslinjene sine for trusselforsvar, prosedyrer og sikkerhetsteknologier.
Hvis det er noen positive sider til det å utsettes for et cyberangrep, er det dette: Det bidrar til å øke bevisstheten internt om IT-sikkerhet.
«91 % av EMEAR-selskaper som ble utsatt for brudd i 2017 foretok betydelige forbedringer av sikkerheten»
Hvordan vil GDPR hjelpe?
I mange tilfeller har sikkerhetseksperter vanskeligheter med å snakke samme språk som styremedlemmene i bedriften og hjelpe dem til å forstå hvorfor de trenger å investere i sikkerhet. Når det forekommer et offentlig cyberangrep og lederne ser hvor omfattende skader som forårsakes, da blir disse grunnene til å investere krystallklare. Samtaler (og endringer) skjer mye raskere når alle forstår problemet.
Dette er hvor slike lover som EU`s personvernforordringen (GDPR), som trer i kraft i mai 2018, kan bidra til å forbedre sikkerhet.
Selskaper som allerede investerer i sikkerhet har kanskje ikke mye å bekymre seg om, da de trolig er godt i gang med å komme i samsvar (på sikkerhetssiden av GDPR). For de organisasjonene som på den annen side har strevd med å sikre finansiering til å investere, gir GDPR en flott mulighet til å oppnå enighet mellom sikkerhetsekspertene og topplederne. Ny lovgivning slik som dette påtvinger bedrifter minimumsstandarder, noe som vil bidra til å støtte mer teknologisk innovasjon i fremtiden.
Datapersonvern og IT-sikkerhet er ikke bare krav fra tilsynsmyndighetene, men også krav fra kundene. Det begynner å bli vanligere for selskaper å få spørsmål fra kundene sine om hvordan de håndterer dataene deres. Det er et tillitsforhold, en antakelse om at selskapet som mottar dataene deres vil ta godt vare på dem. Loven er der bare for å sikre at bedrifter gjør alt de kan for å vise seg tilliten verdig.
Det finnes mange skremsler rundt GDPR-samsvar, men bedriftene har ingenting å frykte. De bør gripe muligheten til å drøfte IT-sikkerhet på styrenivå og åpent gjennomgå de nåværende prosessene sine og hva som trenger forbedring.
Denne styresamtalen er viktig fordi datapersonvern og sikkerhet handler om mer enn IT – det berører forskjellige roller innen organisasjonene. Avdelinger slik som HR, markedsføring, salg, juridisk og operasjoner må alle håndtere persondata, enten det er fra internt eller eksternt publikum. Det er derfor viktig at alle deler av virksomheten vurderer hvordan de best kan segmentere og beskytte kritiske data fra uautorisert tilgang.
Dette er hvor EU`s personvernforordring kan være en katalysator for endring. De kraftige bøtene og sanksjonene forbundet med GDPR er kanskje «helseskremselen» som vil få organisasjoner til å implementere og fostre sunnere sikkerhetsposisjoner. Den kan ha samme bevisstgjørende effekt som cyberangrep har, men forhåpentlig uten noe av den økonomiske skaden.
Du finner mer informasjon om hvordan å komme i samsvar med GDPR i vårt klareringssenter: https://www.cisco.com/c/en/us/about/trust-center/gdpr.html
Tags:
