Den forestående GDPR-deadline , og især dets bøder for databrud, har sat sikkerhed øverst på dagsordenen hos mange organisationer. Der er nu en tvingende grund til brugen af datakryptering, efter at den har ligget i dvale i årtier.
Det er en skam, at kryptering stadig er så misforstået, da det bare er et værktøj som alle andre. Nedenfor er de tre nøgletilgange til kryptering i brug i dag, og som du vil se, er dit eget it-team nøglen...
Hvis du er en lille virksomhed, vil du måske blot vide, at dine data er sikret mod fysisk tyveri. Harddiskkryptering på lavt niveau sikrer maskinens data, så selv om de bliver stjålet, kan data ikke tilgås af nysgerrige øjne. Microsoft BitLocker, for eksempel, giver den generelle beskyttelse, uden at dine brugere eller applikationer behøver at vide det eller bekymre sig.
Dette kan også anvendes til mobilt arbejde. Risikoen for uhensigtsmæssig adgang består dog:Hvor en person i virksomheden – en medarbejder eller konsulent måske – kan få adgang til alle brugeres data, der stadig er "i det klare" på en harddisk, medmindre der tages yderligere eller mere målrettede skridt:
En større virksomhed ser muligvis på at sikre deres systemer for at sikre sikkerheden af følsomme PII-data fra tyveri af enten normale brugere eller afdelingens it-medarbejdere, som muligvis stadig har brug for at understøtte disse systemer. Typisk tilgås disse data kun via de forretningsapplikationer, der kontrollerer adgangen på brugerniveau. Det, der er vigtigt, er, at de rå data fra disse systemer ikke kan læses, hvis de tilgås direkte eller bliver stjålet?
Her kan du bruge Microsoft EFS (krypteret filsystem) eller Microsoft SQL server transparent kryptering til databaser for at forhindre læsbarheden af disse rå aktiver fra brugere på dit netværk.
Igen skal applikationer ikke behøve at vide, at denne kryptering er på plads. Det er noget, IT-teamet kan implementere, og det er konfigurationer, som softwareleverandører gerne bør understøtte. Med ovenstående to tilgange har vi allerede dækket krypteringsbehovet for 95 procent af virksomhederne.
I nogle tilfælde er det nødvendigt at have en blanding af krypterede data og data klar i den samme forretningsapplikation – snarere som en adgangskodebeskyttet vedhæftet fil i en e-mail. Det er her, applikationerne selv tilbyder specifik support og funktionalitet til datasikkerhed.
At arbejde på dette niveau kræver, at applikationen selv er opmærksom på kryptering og er et mere komplekst og dyrt emne. I de fleste situationer er det ikke nødvendigt, men det kan være vigtigt, hvis det er den eneste måde at bruge et system til både almindelige og følsomme data på samme tid. Hvis dette er dit krav, er det vigtigt, at du diskuterer det i detaljer med din softwareleverandør. Hvis du kan undgå det – gør det.
Lad dig ikke forvirre af de tekniske udtryk, bare fokuser på dine vigtigste trusler og forpligtelser – og få den kryptering udført!
Invu Services vil være på stand 146 på Accountex 2018
