Globeteam
Databeskyttelse
Home » Sikkerhed » Zero Trust » Databeskyttelse
Informations- og databeskyttelse i fire trin
Ved hjælp af blandt andet dataklassificering og oprettelse af labels kan virksomheder implementere og monitorere sikkerhedspolitikker og dermed skabe et komplet overblik over virksomhedens informations og databeskyttelse
Zero Trust-sikkerhedsprincipperne kan understøttes med konkrete værktøjer, så virksomheder kan holde skarpt øje med, hvordan forretningsdata bliver genereret og delt på tværs af brugere, enheder og systemer.
Skåret ud i pap kan de Zero Trust-elementer, der handler om informations- og databeskyttelse, koges ned i fire trin.
For det første er forudsætningen for at beskytte noget som helst, at man ved, hvad man beskytter. En virksomhed skal have et grundlæggende overblik over de data, der til sammen udgør forretningens kernedrift.
For det andet skal en virksomhed klassificere og give alle forretningsdata et label, der markerer graden af beskyttelse. Det er ikke alle data, der er lige kritiske eller lige følsomme.
For det tredje skal man implementere de nødvendige beskyttelsesforanstaltninger jævnfør de sikkerhedspolitikker, der er blevet dannet på baggrund af dataklassificeringen og tildelingen af labels.
For det fjerde skal man opsætte sikkerhedsforanstaltninger, der kontrollerer, hvem, hvordan og hvorfra data og information bliver tilgået. Derudover skal der opsættes sikkerhedsforanstaltninger, der også kontrollerer, hvordan data og information bruges, deles og eventuelt misbruges.
Spis Zero Trust-elefanten i små bidder
Som med mange andre sikkerhedstiltag anbefaler vi, at man anlægger en pragmatisk tilgang til Zero Trust og beskyttelsen af data og information. Det giver bedre beskyttelse at implementere simple sikkerhedspolitikker, som brugerne forstår og efterlever, frem for at skabe et stort sikkerhedsmonster, der ikke bliver anvendt korrekt.
Hvad angår trin 1, så er de fleste sikkerhedsansvarlige formentlig allerede langt i kortlægningsarbejdet. Det vigtige er at komme hele vejen rundt og få inkluderet alle data og al information, så der ikke er hjørner af forretningen, der bliver glemt.
Når det handler om dataklassificering og mærkning af data via labels i trin 2, findes der blandt andet indbyggede standardværktøjer i Microsoft 365, der kan klassificere data som henholdsvis ’public’, ’general’, ’confidental’ og ’highly confidental’. Ønsker man at gå endnu mere simpelt til værks, kan man nøjes med at klassificere data som henholdsvis ’intern’ eller ’ekstern’ og så nuancere dataklassificeringen på et senere tidspunkt.
Hvem må hvad og hvornår
I trin 3 bygger man elementerne fra Zero Trust-paradigmet ind i de forskellige beskyttelsesscenarier, der udspiller sig hver dag, når brugere og enheder i en kontinuerlig proces forsøger at få adgang til data og systemer. Det kan eksempelvis være et scenario, hvor et dokument bliver klassificeret som værende tilgængeligt for en bestemt medarbejder, når vedkommende logger på fra sin egen computer via en kendt lokation. Men forsøger samme medarbejder at logge på fra en ukendt enhed på en ukendt lokation, er dokumentet ikke tilgængeligt for medarbejderen.
Monitoreringen af data i trin 4 er det element, der sikrer, at de databaserede sikkerhedspolitikker bliver overholdt. Og hvis de ikke gør, kan man få indsigt i, hvem der har overskredet sine beføjelser, ligesom man også kan omgøre handlinger såsom at trække en brugeradgang til bestemte data tilbage.
"Tendensen omkring den hybride arbejdsplads har prikket hul i den gamle perimetertankegang, hvor vi byggede en borg med en voldgrav rundt om. I dag skal vores brugere kunne tilgå data når som helst og hvor som helst. Vi har brug for sikkerhedsprincipper, der passer til den form for fleksibilitet, og der passer Zero Trust godt ind.”
Thomas Rysgaard, teamleder i Lolland Kommunes digitaliseringsenhed
Sådan kommer I i gang med informations- og databeskyttelse
Når vi hjælper med at implementere Zero Trust på Data and Information Protection-området, råder vi virksomheder til at starte småt ud og kun benytte to eller tre dataklassificeringer. Det gør det forholdsvis nemt at tildele labels til de forskellige brugergrupper i organisationen ud fra deres behov.
Derfra bliver anvendelsen og udbredelsen af dataklassificeringer og labels en brugerdrevet proces. Det er jo i sidste ende brugerne, der hver dag håndterer data og information. Som sikkerhedsansvarlige kan man hjælpe brugerne på vej ved at anvende værktøjer, der automatisk popper op med en besked, i det øjeblik en bruger åbner eller skaber et dokument uden en dataklassificering.
Afslutningsvis anbefaler vi, at man laver et Proof of Concept-projekt i en afdeling af virksomheden, så man kan få en fornemmelse af, hvordan det hele fungerer. De erfaringer kan bruges til at finde ud af, hvilke labels der giver mening for virksomheden, så man bedre kan understøtte brugeradoptionen i det fremadrettede arbejde.
Stay safe - start smart
Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”
Få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave. Gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde belyser Globeteam den hyperkomplekse sikkerhedsudfordring ud fra forskellige vinkler.
Kan jeg hjælpe ?
Kontakt mig gerne, hvis du vil høre mere om Databeskyttelse og Zero Trust, på tlf. +45 3074 7474 eller pls@globeteam.com
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler