Stressen ökar inför sjösättandet av GDPR. Lovisa Bonnevier, CISO på Orange Cyberdefense menar att detta snarare är ett tillfälle att se över hela sin IT-säkerhet och komma ut ur detta som en vinnare.
GDPR, eller General Data Protection Regulation, är den nya lagstiftning kring persondata inom EU som träder i kraft den 25 maj 2018. En utmaning för många organisationer är att hinna vidta nödvändiga ändringar i system och processer i tid. Eftersom den som inte lever upp till lagens krav kan få betala mycket höga viten är denna fråga högt upp på dagordningen under 2017. Målet med regelverket är att ge ökat skydd för personlig integritet, kontroll och insyn för den enskilde medborgaren.
Lovisa Bonnevier, CISO på Orange Cyberdefense, menar att man ska se de nya lagkraven som en möjlighet att se över hela sin organisations informationssäkerhet.
– Ett arbete av detta slag, där inriktningen handlar om att uppfylla ett regelverk, leder för de flesta verksamheter till förbättrade processer samt en ökad säkerhet för det område som omfattas av regelverket. Att då inte samtidigt aktivt se över skyddet av övrig känslig information, som ligger utanför detta regelverk ser jag som inget annat än slöseri med pengar. Det handlar om att maximera effekten av den investering man ändå gör med GDPR i åtanke, säger Lovisa.
Varje organisation måste själv tolka hur lagkraven ska efterlevas
Lagstiftningen kring GDPR är inte helt tydlig, vilket innebär att det finns ett extra stort behov av att varje organisation tolkar exakt hur de skall hantera både sina processer och sin teknik för att leva upp till de nya kraven. Kunduppgifter, kontoinformation, personaldata, bildfiler, IP-adresser och mycket annat är exempel på sådant som kan komma att omfattas av den nya lagen.
Alla kommer att behöva göra något för att uppfylla lagkraven, men genom att tänka efter hur informationssäkerheten bäst kan stödja verksamheten kan man genomföra ändringarna mer kostnads- och tidseffektivt.
– Med rätt strategi, genomförande och prioriteringar finns alla förutsättningar att nå ökad effektivitet och kvalitet. En deadline som denna är dessutom en bra drivkraft och vad många verksamheter behöver för att lyfta detta på agendan, säger Lovisa.
Hon menar att framgångsreceptet är att genomföra arbetet snabbt, effektivt och pragmatiskt. För att detta skall lyckas är det viktigt att involvera alla intressenter, de som äger informationen ute i verksamheten, jurister och IT.
Var ska man då börja?
– Inventera var den känsliga informationen finns, vilka system och processer som omfattas. Därefter bör en riskanalys göras som pekar ut de mest sårbara områdena och hur företaget måste åtgärda dessa. För de allra flesta innebär dessa åtgärder en kombination av teknik, processer och ett nära samarbete med hela verksamheten. Gör man detta på rätt sätt maximerar man nyttan och är väl förberedd för de nya kraven, säger Lovisa.
