Vanligtvis skriver Sejf mest för lite större verksamheter, men de mindre företagen har inte samma muskler att sätta in mot olika former av säkerhetshot. Vad kan då dessa göra för att skydda sig? Vi bjöd in Emilie Toth Jensen, ansvarig för dataskydd på e-signaturspecialisten Penneo, att ge tips till de lite mindre företagen.

Det har blivit smärtsamt tydligt att hackare har insett att information är det nya guldet. I stort sett dagligen blir företag utsatta för cyberattacker, och alla hot kommer inte utifrån. Nyligen lyckades en anställd på en stor belgisk bank ge en utomstående tillgång till känsliga kunddata. Banken blev därför tvungen att rapportera ett dataintrång till den nationella myndigheten för personlig integritet. Men det är inte bara stora företag som har problem, utan även de mindre kan utsättas för informationsstölder.

Många företag fungerar idag nästan helt digitalt och är beroende av att deras leverantörer av programvara och molnbaserade tjänster sköter säkerheten så att känslig kundinformation inte läcker. Ett exempel är e-signeringstjänster som redovisningsbyråer använder för att automatisera signeringen av årsredovisningar och räkenskaper. Genom mjukvaran behandlas hundratusentals sekretessbelagda dokument som endast får läsas och hanteras av behöriga personer. Då är det viktigt att leverantörerna till exempel använder kryptering.

Här är 8 tips som ett mindre företag kan göra för att skydda sina data:

1. Kryptera datan

Att kryptera information är det bästa sättet att skydda den. Kryptering är en process som med hjälp av en algoritm omvandlar datan till ett oläsbart format. Endast personer som besitter en nyckel kan dekryptera och läsa den kodade informationen. Det gör att din data är oanvändbar även om den stjäls eller kommer på avvägar – och blir därför inte intressant för datatjuvar.

2. Ta hand om datalagringen

Grundprincipen i datalagring är att du endast sparar data så länge den är nödvändig för verksamheten – ju mer data, desto svårare är det att skydda den. Detta är också grunden i GDPR-bestämmelserna. Det bör också finnas riktlinjer kring vilken data som ska behållas och hur länge, samt information om hur den korrekt raderas när den inte längre behövs.

3. Implementera en cybersäkerhetslösning

Att införa adekvat säkerhet för dina IT-system är avgörande för att bibehålla sekretess, tillgänglighet och integritet. En sådan lösning för cybersäkerheten behöver vara skräddarsydd eftersom behoven skiljer sig mellan olika verksamheter, men består vanligtvis av en kombination av antivirusprogram, brandväggar, intrångsdetektering och multifaktorautentisering. En annan komponent som inte får glömmas bort är utbildning om cyberhot för de anställda.

Ett sådant system får dock inte vara statiskt. Den digitala världen utvecklas snabbt och hackare hittar alltid nya sätt att ta sig in. Det är därför mycket viktigt att övervaka vad som händer i cyberlandskapet så att du i tid kan strama upp dina säkerhetsåtgärder.

4. Begränsa åtkomsten

Se till att alla anställda endast har tillgång till den information de behöver för att kunna utföra sitt jobb. Gör därför regelbundna inventeringar av vilka behörigheter anställda har och stäm av mot vad som faktiskt är nödvändigt.

5. Ha en sekretesspolicy

Tyvärr utgör människan ofta den svagaste länken i säkerhetskedjan. Anställda är ofta omedvetna om farorna med dataintrång när de hanterar filer och utdata. Det är därför avgörande att skapa medvetenhet om detta internt och säkerställa att det finns en tydlig och användbar uppsättning riktlinjer för datasäkerhet. På så sätt kan du följa lagkrav gällande datahantering och undvika intrång på grund av den mänskliga faktorn.

6. Glöm inte fysiska säkerhetsåtgärder

Fysiska hinder mot att faktiskt komma in på företaget är viktigt. Kom också ihåg att många datastölder sker inifrån. Det är inte ovanligt att en anställd som lämnar företaget laddar ner kunddata. Inför därför kontroller så att detta inte är möjligt.

Vi ska inte heller glömma bort att det fortfarande kan finnas känsliga pappersdokument. I den mån man fortfarande har sådana ska de förvaras i låsbara rum eller skåp och bara behöriga ska ha tillgång till dem. Säkra alltså ditt kontor med ett larmsystem, använd till och med övervakningskameror och inpasseringskontroll.

7. Sekretessavtal (NDA) och dataskyddsavtal (DPA)

Att dela data eller känslig information är ofta oundvikligt i affärslivet, men det måste ske på ett säkert sätt. För att avtalsenligt säkerställa att uppgifterna du delar i affärsrelationer förblir konfidentiella kan du använda sekretessavtal. Detta bör specificera vilket material som kommer att delas, vem som är ansvarig för datasäkerheten och vilka åtgärder mottagaren måste vidta för att uppfylla säkerhetsstandarden.

Några säkra sätt att dela data är genom att använda lösenordsskyddade dokument, kryptera e-postkorrespondensen eller arbeta i andra plattformar som kräver identifiering och loggar aktivitet. Dokumentera dessa avtalsförpliktelser och skyddsåtgärder för större samarbeten eller företagstransaktioner i ett separat sekretessavtal (NDA). För löpande affärsrelationer eller projekt bör du istället inkludera skyldigheterna i ett dataskyddsavtal (DPA).

8. Automatisera och digitalisera med en pålitlig partner

Mänskliga faktorn är som tidigare nämnts ofta orsaken till dataintrång och läckor. Investera därför i programvara som automatiserar administrativa processer med ett minimum av mänsklig handpåläggning. Systemet behöver kryptera datan och garantera att den blir tillgänglig först efter att de behöriga personerna har identifierat sig.

Emelie Toth Jensen, Penneo