Vad är dataskydd?
Mer information om att skydda data oavsett var de lagras och hantera känsliga och verksamhetskritiska data i hela din miljö.
Definitionen av dataskydd
Dataskydd handlar om strategier och processer för säkerhet som hjälper till att skydda känsliga data mot skador, angrepp och förlust. Hot mot känsliga data inkluderar intrång och förlust.
Ett dataintrång är resultatet av icke auktoriserad åtkomst till din organisations information, nätverk eller enheter genom exempelvis cyberattacker, interna hot eller den mänskliga faktorn. Utöver förlust av data kan din organisation bötfällas för brott mot efterlevnad, stämmas på grund av att personliga uppgifter läckt och lida skada på grund av att anseendet drabbas.
En dataförlustincident är en avsiktlig eller oavsiktlig störning av din organisations normala verksamhet – en bärbar dator stjäls eller tappas bort, programvara slutar att fungera eller ett datavirus tar sig in på nätverket. Att ha en säkerhetsprincip på plats och utbilda de anställda att känna igen hot och veta hur de ska agera – eller inte agera – är en viktig del av din strategi för dataskydd.
Viktiga grunder för dataskydd
De viktigaste att tänka på när det gäller dataskydd är datatillgänglighet och datahantering.
Datatillgänglighet ger anställda åtkomst till data de behöver för sina dagliga arbetsuppgifter. Upprätthållandet av datatillgänglighet bidrar till din organisations verksamhetskontinuitet och haveriberedskapsplan, en viktig del av din dataskyddsplan som förlitar sig på säkerhetskopior förvarade på annan plats. Att ha tillgång till dessa kopior minimerar driftstoppet för dina anställda och låter dem fortsätta jobba.
Datahantering täcker in livscykelhantering av data och information.
- Livscykelhantering av data inbegriper skapande av data, lagring, användande och analys, arkivering och avyttring. Denna livscykel bidrar till att din organisation efterlever relevanta föreskrifter och att du inte lagrar data i onödan.
- Livscykelhantering av information är en strategi för katalogisering och lagring av information som kan härledas ur din organisations datamängder. Syftet är att avgöra hur relevant och korrekt informationen är.
Varför är dataskydd viktigt?
Dataskydd är viktigt för att skydda din organisation från datastöld, dataläckor och dataförlust. Det inbegriper bruk av sekretessprinciper som uppfyller föreskrifter för efterlevnad och förhindrar att din organisations anseende skadas.
En strategi för dataskydd inkluderar att övervaka och skydda data i din miljö, och upprätthålla kontinuerlig kontroll över datasynlighet och -åtkomst.
Framtagande av en dataskyddsprincip gör det möjligt för din organisation att bestämma risktoleransen för varje datakategori, och att efterleva relevanta föreskrifter. Denna princip hjälper även till att upprätta autentisering och auktorisering – vilket bestämmer vem som ska få tillgång till vilken information och varför.
Typer av dataskyddslösningar
Dataskyddslösningar hjälper dig att övervaka interna och externa aktiviteter, flagga misstänkt eller riskabel delning av data samt styra åtkomst till känsliga data.
Dataförlustskydd
Replikering
Replikering kopierar kontinuerligt data från en plats till en annan för att skapa och lagra uppdaterade kopior av dina data. Detta tillhandahåller dataredundans i händelse av att ditt huvudsystem går ner. Utöver att skydda dig mot dataförlust innebär replikering även att data är tillgängliga från den närmaste servern, så att behöriga användare får snabbare åtkomst. Tack vare tillgång till en komplett kopia av din organisations data kan dina team även utföra analyser utan att det dagliga behovet av data störs.
Lagring med inbyggt skydd
En lagringslösning bör erbjuda dataskydd, men även göra det möjligt att återställa data som raderats eller ändrats. Flera nivåer av redundans bidrar till att skydda data i händelse av elavbrott, maskinvaruproblem eller naturkatastrofer. Versionshantering bevarar tidigare tillstånd av dina data när en överskrivning skapar en ny version. Konfigurera ett lås – till exempel endast läsrättigheter eller förbud mot radering – på dina lagringskonton för att skydda dem mot oavsiktlig eller uppsåtlig radering.
Brandväggar
En brandvägg hjälper till att garantera att enbart behörig användare har åtkomst till din organisations data. Den övervakar och filtrerar nätverkstrafik i enlighet med dina säkerhetsregler och blockerar hot, exempelvis virus och utpressningstrojaner. Inställningar för brandväggen inkluderar vanligtvis alternativ för att skapa regler för ingående och utgående trafik, regler för anslutningssäkerhet, loggfiler för övervakning och meddelanden när brandväggen blockerat något.
Dataidentifiering
Dataidentifiering är processen för att ta reda på vilka data som existerar inom organisationen, i datacenter, på bärbara och skrivbordsdatorer, mobila enheter och i molnet. Nästa steg är att kategorisera dina data (till exempel som begränsad, privat eller offentlig) och bekräfta att de uppfyller regelefterlevnaden.
Autentisering och auktorisering
Kontroller för autentisering och auktorisering verifierar användarautentisering och bekräftar att åtkomsträttigheter tilldelas och används på ett korrekt sätt. Rollbaserad åtkomstkontroll är ett exempel på ett sätt att endast ge åtkomst till dem som behöver den för att göra sina jobb. Det kan användas tillsammans med hantering av identitet och åtkomst för att styra vad anställda får och inte får åtkomst till för skydda organisationens resurser – till exempel appar, filer och data.
Säkerhetskopiering
Säkerhetskopior ingår i kategorin datahantering. De kan skapas så ofta du behöver dem (till exempel fullständiga säkerhetskopior varje kväll och inkrementella säkerhetskopior under dagen) och de gör att du snabbt kan återskapa förlorade eller förstörda data för att minimera avbrott. En typisk strategi för säkerhetskopiering innebär att skapa flera kopior av dina data och förvara en full uppsättning på en separat server och en på en annan fysisk plats. Strategin för säkerhetskopiering går hand i hand med din haveriberedskapsplan.
Kryptering
Kryptering hjälper till att bibehålla dataintegritet samt hålla data säkra och hemliga. Det används för data i vila och i rörelse, och förhindrar obehöriga användare från att få tillgång till filers innehåll även om de hittar deras lagringsplats. Läsbar text omvandlas till oläslig text (data konverteras till kod som kräver en dekrypteringsnyckel för att läsa eller bearbeta).
Haveriberedskap
Haveriberedskap ingår i begreppet informationssäkerhet (InfoSec) som inriktar sig på hur organisationer använder säkerhetskopior för att återställa data och återstarta den normala verksamheten efter en olycka (till exempel en naturkatastrof, maskinhaverier i stor skala eller en cyberattack). Det är en proaktivt metod som hjälper organisationer att minska påverkan från oförutsägbara händelser och snabbare vidta åtgärder vid planerade eller oplanerade avbrott.
Slutpunktsskydd
Ögonblicksbilder
En ögonblicksbild visar ditt filsystem vid en specifik tidpunkt, och spårar alla förändringar som skett sedan dess. Denna dataskyddslösning refererar lagringsmatriser som använder uppsättningar av hårddiskar istället för servrar. Matriser skapar vanligtvis en katalog som pekar till platsen där data lagras. En ögonblicksbild kopierar matrisen och anger data som skrivskyddade. Nya poster skapas i katalogen samtidigt som äldre kataloger bevaras. Ögonblicksbilder inkluderar även systemkonfigurationer till återställningsservrar.
Radering av data
Radering innebär att lagrade data som din organisation inte längre behöver tas bort. Processen kallas även datarensning eller databorttagning och är ofta ett regelkrav. Enligt GDPR äger enskilda individer rätten att på begäran få sina personliga uppgifter raderade. Rätten till radering kallas även ”rätt att bli bortglömd”.
Skydd, säkerhet och sekretess
De kan uppfattas som synonymer, men dataskydd, datasäkerhet och datasekretess har alla olika syften. Dataskydd omfattar strategier och processer för säkerhet som hjälper din organisation att skydda känsliga data mot skador, angrepp och förlust. Datasäkerhet handlar om dataintegritet och att skydda dina data från intrång från obehöriga användare eller hot från insidan. Datasekretess styr vilka som har åtkomst till dina data och bestämmer vad som får delas med tredjepart.
Metodtips för dataskydd
Metodtips för dataskydd består av planer, principer och strategier för kontrollera åtkomst till dina data, övervaka aktiviteter för nätverk och användare samt besvara interna och externa hot.
Håll koll på kraven
En omfattande styrningsplan identifierar regelkrav och vad som gäller för din organisations data. Bekräfta att du har synlighet för alla dina data och att klassificeringarna är korrekt genomförda. Kontrollera att du efterlever branschens sekretessregler.
Begränsa åtkomst
Åtkomstkontroll använder autentisering för att bekräfta att användare är vilka de säger att de är, och auktorisering för att avgöra vilken information de har rätt att se och använda. I händelse av dataläcka är åtkomstkontroll en av de första principerna som granskas för att avgöra om den införts och underhållits korrekt.
Cybersäkerhetspolicy
En princip för cybersäkerhet definierar och villkorar IT-aktiviteter inom din organisation. Den uppmärksammar anställda på vanligt förekommande hot mot dina data, och hjälper dem att vara vaksamma när det gäller säkerhet. Den kan även tydliggöra dina strategier för dataskydd och uppmuntra ansvarsfull dataanvändning.
Övervaka aktiviteter
Kontinuerlig övervakning och testning hjälper till att identifiera potentiella risker. Automatisera dina dataövervakningsuppgifter med hjälp av AI för att snabbt och effektivt upptäcka hot. Detta tidiga varningssystem informerar dig om möjliga data- och säkerhetsproblem innan de kan orsaka någon skada.
Utveckla en plan för incidenthantering
Genom att ha en plan för incidenthantering på plats före en dataläcka inträffar är du förberedd för att vidta åtgärder. Den hjälper utryckningsteamet (till exempel din IT-chef, InfoSec och kommunikationschefen) att upprätthålla dina systems integritet och så snabbt som möjligt få igång verksamheten igen.
Identifiera risker
Medarbetare, leverantörer, underleverantörer och partner har information om dina data, datorsystem eller säkerhetsmetoder. Att veta vilka data du har och hur de används i den digitala egendomen gör det enklare för organisationen att identifiera obehörig åtkomst till data och skydda den från felaktig användning.
Förbättra datalagringssäkerheten
Datalagringssäkerhet använder metoder som åtkomstkontroll, kryptering och slutpunktssäkerhet för att upprätthålla integriteten and sekretessen för dina lagrade data. Den minskar även risken för avsiktlig eller oavsiktlig skada och göra dina data kontinuerligt åtkomliga.
Utbilda dina medarbetare
Oavsett om det är avsiktligt eller ej, är interna risker den ledande orsaken till dataläckor. Var tydlig med dina dataskyddsprinciper på alla nivåer för att hjälpa medarbetare att efterleva dem. Underhåll utbildningen genom repetitionsövningar och vägledning när specifika händelser inträffar.
Dataskyddsefterlevnad och -lagar
Alla organisationer måste efterleva relevanta standarder, lagar och regler kring dataskydd. Juridiska åtaganden inkluderar, men är inte begränsade till, att inhämta bara den information du behöver från kunder och medarbetare, lagra den säkert och kassera på ett korrekt sätt. Följande är exempel på sekretessregler.
GDPR är den striktaste lagen (förordningen) rörande datasekretess och -säkerhet. Den författades och antogs av EU, men organisationer i hela världen är skyldiga att efterleva den om de samlar in personliga uppgifter om EU-medborgare eller bosatta i EU, eller erbjuder dem varor och tjänster.
CCPA (The California Consumer Privacy Act) skyddar den personliga integriteten för konsumenter boende i Kalifornien, däribland rätten att få veta vilka personliga uppgifter ett företag samlar in och hur dessa används och lagras, rätten att få insamlade personliga uppgifter raderade och rätten att förbjuda vidareförsäljning av personliga uppgifter.
HIPAA skyddar information om patienthälsa från att avslöjas utan patientens kännedom och medgivande. HIPAA Privacy Rule skyddar personlig hälsoinformation och utfärdades för att implementera HIPAA-krav. HIPAA Security Rule hjälper till att skydda identifierbar hälsoinformation som en vårdgivare skapar, tar emot, underhåller eller överför elektroniskt.
GLBA (The Gramm-Leach-Bliley Act) – även känd som Financial Services Modernization Act of 1999 – kräver att finansinstitut förklarar sin praxis för informationsdelning för kunder och skyddar känsliga data.
The Federal Trade Commission är det primära kundskyddsorganet i USA. The Federal Trade Commission Act förklarar som olagliga alla orättvisa konkurrensmetoder eller bedrägliga förfaranden och metoder som påverkar handeln.
Trender inom dataskydd
I takt med att nya strategier och processer utvecklas, finns vissa trender inom dataskydd som din organisation bör känna till. De inkluderar regelefterlevnad, riskhantering och datamobilitet.
Flera allmänna dataskyddsförordningar
GDPR har kommit att bli riktmärket för hur andra länder samlar in, lämnar ut och lagrar personliga uppgifter. Sedan införandet har CCPA i USA (Kalifornien) och General Personal Data Protection Law i Brasilien försökt hålla jämna steg med den ökande onlinekonsumtionen och personligt anpassade produkter och tjänster.
Skydd för mobildata
För att förhindra obehöriga användare från att få åtkomst till ditt nätverk måste känsliga data som lagras på mobila enheter, till exempel bärbara datorer, surfplattor och smarta telefoner, skyddas. Säkerhetsprogramvara använder identitetsverifiering för att förhindra att enheter komprometteras.
Mindre åtkomst för tredje part
Dataläckor går ofta att spåra till tredje part (till exempel underleverantörer, partner och tjänstleverantörer) som har för stor tillgång till en organisations nätverk och data. Riskhantering för tredje part letar sig in i efterlevnadsreglerna för att begränsa tredje parts åtkomst och användning av data.
Hantering av kopierade data
Hantering av kopierade data identifierar duplicerade data, jämför liknande data och låter din organisation radera oanvända kopior. Den här lösningen minimerar inkonsekvenser som orsakas av duplicerade data, minskar lagringskostnaden och upprätthåller säkerhet och efterlevnad.
Datamobilitet
När molnbaserad databehandling först blev aktuellt var det svårt med datamobilitet och migrering av stora uppsättningar data till andra miljöer. I dag innebär molnteknik att data är mer rörliga, vilket låter organisationer flytta data mellan miljöer, till exempel från lokala datacenter till offentliga moln, eller mellan molnleverantörer.
Haveriberedskap som tjänst
Haveriberedskap som tjänst hjälper organisationer av alla storlekar att använda kostnadseffektiva molntjänster för att kopiera sina systemen och återställa verksamheten efter en förödande händelse. Den erbjuder flexibiliteten och skalbarheten hos molnbaserad teknik och betraktas som en effektiv lösning för att undvika avbrott i tjänsten.
Dataidentifiering och klassificering
Dataidentifiering och dataklassificering är separata processer som samarbetar för att synliggöra din organisations data. Ett verktyg för dataidentifiering söker igenom hela din digitala egendom för att ta reda på var strukturerade och ostrukturerade data lagras, något som är viktigt för din strategi för dataskydd. Dataklassificering organiserar data från dataidentifieringsprocessen baserat på filtyp, innehåll och annan metadata. hjälper till att eliminera duplicerade data samt gör det lättare att lokalisera och hämta data.
Data som inte skyddas är sårbar data. Vetskap om vilka data du har och var de lagras hjälper dig att skydda dem, samtidigt som efterlevnadskrav relaterade till dataprocesser och -kontroller efterlevs.
Dataskyddslösningar
Dataskyddslösningar hjälper till att skydda mot dataförlust and inkluderar säkerhet, säkerhetskopiering av data och återställning, vilket direkt stöder din organisations plan för haveriberedskap.
Förenkla din organisations förståelse för sina känsliga data. Få insyn i alla dina data, få kraftfullare skydd för appar, moln och enheter samt hantera regelkrav med hjälp av Microsoft Security-lösningar.
Mer information om Microsoft Security
Microsoft Purview
Utforska styrnings-, skydds- och efterlevnadslösningar för din organisations data.
Hjälp till att förhindra dataförlust
Identifiera olämplig delning, överföring eller användning av känsliga data i slutpunkter, appar och tjänster.
Informationsskydd
Skydda och styr dina data med hjälp av inbyggda, intelligenta, enhetliga och utökningsbara lösningar.
Kommunikationsefterlevnad
Använd maskininlärning för att upptäcka kommunikationsöverträdelser.
Vanliga frågor och svar
-
Exempel på dataskydd inkluderar skydd mot uppsåtlig eller oavsiktlig skada, en strategi för haveriberedskap samt att bara de som behöver vissa data har åtkomst.
-
Syftet med dataskydd är att skydda din organisations data mot kompromettering, skada och förlust.
-
GDPR anger att individer har grundläggande fri- och rättigheter när det gäller skyddet av personliga uppgifter. Alla organisationer som samlar in personliga uppgifter måste ha uttryckligt tillstånd från individer och är ålagda att vara öppna med hur dessa data ska användas.
-
Verktyg för dataskydd inkluderar dataidentifiering och -inventering, kryptering, radering av data, åtkomsthantering och slutpunktssäkerhet.
-
För att skydda data kan företag börja med att upprätta en säkerhetsprincip som definierar sådant som godkänt användande och incidentrapportering. Säkerhetskopiering av kritiska data, uppdatera programvaror och utbilda medarbetare i dataskydd är andra viktiga åtgärder.
Följ Microsoft Security