Utveckla informationssäkerheten och beredskapen

Ett dataintrång eller ett dataläckage kan i värsta fall orsaka stora ekonomiska förluster för din organisation. Därför är det en affärsförmån att sköta datasäkerhets- och dataskyddsärenden ordentligt på förhand. Till exempel orsakar dataintrång i allmänhet betydligt större kostnader än beredskap för datasäkerhetshot. 

Läs mer om cybersäkerhet och företagets styrelses ansvar i Cybersäkerhetscentrets vid Traficom guide. Öppnas i ett nytt fönster.

Eftersom dataläckage ofta beror på ett mänskligt misstag är det bästa sättet att skydda sig att regelbundet utbilda personalen i dataskyddsfrågor. Det är också viktigt att se till att dataskyddsfrågor beaktas i organisationens processer och informationssystem.

För att din organisation ska kunna skydda sig mot dataintrång är det viktigt att åtminstone följande praktiska åtgärder vidtas: 

• Håll program och system uppdaterade med hjälp av automatiska uppdateringar. 
• Begränsa personalens åtkomsträttigheter till olika system efter behov.
• Ta automatiska säkerhetskopior av de viktigaste uppgifterna och förvara dem på ett säkert sätt. 
• Testa informationssystemens säkerhet regelbundet. 
• Överväg om det finns skäl att genomföra en informationssäkerhetsauditering i organisationens centrala datasystem. 

Se till att följande grundläggande principer iakttas i din organisation när du loggar in i systemen:

• Använd identifiering i två steg.
• Använd en lösenfras istället för lösenord.
• Berätta inte lösenordet för någon. 
• Använd inte samma lösenord i olika tjänster. 

Kom överens om vem i er organisation som ansvarar för informationssäkerhet och dataskydd. Det är smidigare att utveckla informationssäkerheten och dataskyddet när ansvaret är tydligt. 

Det är viktigt att organisationens ledning och personal utbildar sig i dataskydds- och informationssäkerhetsfrågor. Erbjud personalen utbildning så att alla kan arbeta på ett datasäkert sätt och med beaktande av dataskyddskraven. Ni kan också ordna cyberövningar där ni övar på att agera i olika undantagssituationer. 

Bedöm vilka risker i anslutning till dataintrång och dataläckage som är centrala för er organisations verksamhet:

• Hur mycket information har organisationen om kunderna/personalen? Är dessa uppgifter känsliga?
• Hur mycket och hur omfattande uppgifter finns det?
• Hur lätt är det för utomstående att få tillgång till informationen?
• Finns det andra centrala risker som till exempel är typiska inom organisationens bransch?

Gör upp en beredskaps- eller kontinuitetsplan för att hantera störningssituationer och kränkningar av informationssäkerheten samt de störningar som dessa orsakar. Anteckna i planen de åtgärder med hjälp av vilka man under och efter en störning kan återställa organisationens verksamhet till normalläge så snabbt och kostnadseffektivt som möjligt.

I kontinuitetsplaneringen ska man framför allt förbereda sig på de mest kritiska risker som identifierats utifrån riskbedömningen.