Organisationer behöver en skyddskatalog för GDPR

Fem månader in i GDPR är det intressant att prata om nuläget i svenska organisationer kopplat till skyddsåtgärder. Det är min uppfattning efter dialog med både privat och offentlig sektor, att man har biträdesavtal med de viktigaste leverantörerna, och landat en första registerförteckning över de olika behandlingarna man har. Utgår man från den senaste rapporten från Datainspektionen, har 86% av de organisationer som måste ha en DSO tillsatt en sådan. Däremot är det betydligt färre som landat de lämpliga tekniska och organisatoriska åtgärder som krävs (GDPR Art 32), och förvånansvärt få som svarar ”ja” på  frågan om man identifierat lämpliga tekniska och organisatoriska kontroller.

För att kunna gå i mål med detta behöver organisationer landa en skyddskatalog, som beskriver vilka säkerhetsåtgärder som är lämpliga. Med tanke på att det tar förhållandevis lång tid att gå från att först identifiera lämpliga säkerhetskontroller, sedan besluta om att de skall införas till att faktiskt införa dem, är det ett arbete som bör inledas snart, särskilt med tanke på vad Datainspektionen skrev i sin GDPR granskning 23e Oktober gällande DSO:

”Eftersom det gått så pass kort tid efter att GDPR infördes den 25 maj, har vi stannat vid att utfärda reprimander. Men, skulle vi framöver konstatera fortsatta brister när det gäller dataskyddsombud så kan även administrativa sanktionsavgifter bli aktuella”.

Man tar med andra ord just nu hänsyn till tidsaspekten, men det finns uppenbarligen ett bäst före-datum.

Det finns ett antal aktiviteter som jag rekommenderar för att lyckas i det arbetet.

Utför konsekvensbedömningar (man kan alltid följa processen utan att kalla den för en konsekvensbedömning) – den dialog som uppstår med verksamheten, IT och leverantörer när man diskuterar oönskade händelser som kan drabba registrerade, och vad man gör för att hantera dessa, är guld värd. Trots avsaknad på styrdokument, och ofta diffusa krav på tillgänglighet, konfidentialitet och riktighet, finns det hjältar på IT-avdelningar (och för den delen hos leverantörer) som av ren yrkesheder och genuin omtanke om verksamheten har infört massor av olika åtgärder. Det kan vara behörighetskontroller på transaktionsköer, rollbaserade åtkomstkontroller, replikering av data, snapshot-hantering, åtkomstkontroll till API:er, kryptering, logganalyser osv. Skriver man ned dessa har man en jättebra start på en bruttolista över olika åtgärder. Ofta har leverantörer, t.ex. i sourcing-sammanhang, bra dokument man kan utgå ifrån. Då slipper man uppfinna hjulet igen. I bästa fall har de själva gjort en konsekvensbedömning. Detta blir alltså en sorts omvänd process där man utgår från vad som faktiskt är gjort, för att dokumentera ned detta som krav. Ofta får man under konsekvensbedömningen fram konkreta åtgärder på större detaljnivå än man hittar i styrdokument, som kan lämpa sig i t.ex. arkitekturella lösningsmönster.

Etablera styrdokument – med en informationssäkerhetspolicy och tillhörande mer detaljerad riktlinje som beskriver verksamhetens krav, blir det ordentligt mycket lättare att kunna beskriva någon sorts baseline som skall gälla för applikationer/system. I avsaknad av dessa, blir en konsekvensbedömning en lätt otacksam uppgift för det första förvaltningsobjektet/applikationen som bedöms, eftersom man utgår ifrån ett vitt papper. Det kan vara ett sätt att börja, men då måste man planera för att det projektet får bära budgeten för att identifiera vilka säkerhetskrav som skall gälla.

Med styrdokument och informationen från konsekvensbedömningen, har man en god grund för att ta fram den sista pusselbiten som ofta saknas även i säkerhetsmogna organisationer, och det är skyddskatalogen. I sin enklaste form är den en lista på konkreta kontroller vi vidtar för att hindra en oönskad händelse. Det bör framgå vad som är att betrakta som en baseline, dvs vad som skall gälla för alla applikationer och system. Kommer man hit, kan man sedan i risk- och konsekvensbedömningar förhållandevis enkelt beroende på känsligheten i informationen avgöra om baseline är tillräcklig eller om det krävs extra åtgärder.

Lycka till med säkerhetsarbetet! Har du biljett till Microsoft Techdays, vill jag slå ett slag för min och Mats Hultgren session den 25e Oktober 10:30 – 11:30 där vi djupdyker kring konsekvensbedömningar och riskanalys.

Dataskydd genom aktivt riskarbete

Mårten Thomasson

CEO at AddLevel and Cyber Security Advisor with engagements ranging from security design and architecture to implementation of strategic security frameworks.

marten.thomasson@addlevel.se

Posted in Addlevel, Blog, GDPR, Informationssäkerhet, Nyheter, Security.