Keynote på Infosecurity: GDPR kan få ledelsens øjne op for it-sikkerhed

Topledelsen vil ofte hellere sætte nye projekter i søen end at polstre sikkerheden i den eksisterende forretning. GDPR kan få ledelsen til at sætte fokus på it-sikkerhed, mener jurist.

Hvis din organisation har styr på almen it-sikkerhed, er der måske ikke så forfærdelig langt til GDPR-compliance. De to områder har et overlap, som ikke alle er klar over, mener Emil Bisgaard, der er erhvervsjuridisk rådgiver og Senior Manager hos Kammeradvokaten.

Han holder i dag keynote på Infosecurity i Øksnehallen i København.

»Jeg ser ofte, at organisationer har gjort et fint stykke arbejde, hvad angår klassisk informationssikkerhed, men mange er ikke klar over, at man kan tage udgangspunkt i det arbejde, når man skal leve op til GDPR,« siger rådgiveren, der holder keynote på Version2 Infosecurity på torsdag d. 3. maj i Øksnehallen i København.

GDPR stiller krav til behandlingssikkerhed, som langt hen ad vejen berører de samme temaer som kravene til it-sikkerhed – som adgangskoder og logning.

Kravene er desuden risikobaserede – ligesom kravene i ISO27001-standarden er.

Læs også: Dansk it-hus gør klar til GDPR: Koder på printere og ingen ulåste computere

Med forordningens overlap til it-sikkerhed, og den enorme fokus som GDPR har nydt de seneste mange måneder, kan de persondataregler være med til at give noget tiltrængt topledelsesfokus på it-sikkerheden.

»I mange år har det været sådan, at sikkerhed kan være lidt usexet. Hvis man har nogle chefer, der sætter sig mål, så går de typisk ikke på sikkerheden, men på at skabe nye tjenester og nye brugeroplevelser. Det at hærde sikkerheden i eksisterende systemer og software er lidt kedeligt,« siger Emil Bisgaard og fortsætter:

»Det er en af grundene til, at det har været svært at få den fornødne forankring i ledelsen. Der oplever jeg, at GDPR er en god katalysator til at få topledelsens opmærksomhed over på it-sikkerhed.«

Orden i data-skufferne

Store cyberangreb, som det Mærsk-koncernen oplevede i 2017, har gjort det nemmere at forklare topledelsen, at man skal bruge tid på it-sikkerhed.

Men mange har også fået øjnene op for, at der er en forretningsmæssig fordel i at have orden i data-skufferne, mener Emil Bisgaard.

»Når du sætter dig og kigger på compliance, får du indsigt og i dine systemer og dine data, og det oplever mange som en positiv proces. I starten synes mange, der et vanskeligt, men de synes også, det er rart at få styr på butikken. Det giver en tilfredshed.«

Læs også: Kommune ramt af skygge-it: Alarmopkald fra anfaldsramt beboer kom ikke frem

Den motivation gælder både i det private og i det offentlige, mener juristen.

»Det offentlige har også budgetter og har også brug for succeshistorier. Der er ikke meget succeshistorie i at sætte en lås på døren,« bemærker Emil Bisgaard.

Sikkerhed kræver jurister såvel som teknikere

Et af de nye elementer, som GDPR bringer til arbejdet med datasikkerhed, er dokumentation.

Organisationer skal ikke blot have styr på sikkerheden, de skal også kunne dokumentere det over for Datatilsynet og deres kunder.

Dokumentationen gælder ikke bare virksomhedens egne interne processer, men også sikkerheden hos leverandører, understreger Emil Bisgaard.

»Man er nødt til at styrke sikkerheden hele vejen rundt. Leverandørens sikkerhed skal være lige så god som din egen. Og du skal kunne dokumentere det.«

Læs også: Statens Serum Institut har syltet kontrol med behandlere af persondata i tre år

Tilsyn med sikkerheden hos leverandører har i mange år været en lukket boks, hvor teknikere og revisorer har stået for opgaven, mens jurister ikke har været med.

Og det har vist sig at give udfordringer, når der opstår uenigheder, forklarer Emil Bisgaard.

»Jeg bilder mig ikke ind, at jeg kan sætte tekniske sikkerhedskrav bedre end de it-faglige, men jeg kan til gengæld sætte juridiske krav. Og jeg kan konstatere, at der er brug for at have juristerne med i den proces, så man ved, hvordan konflikter løses, hvis de tekniske krav ikke opfyldes,« siger han og tilføjer:

»Hvis der skal styr på sikkerheden, skal jurister, teknikere og forretning arbejde sammen i de her projekter. Jeg har personligt rigtig gode erfaringer med den type tværfaglige forløb.«

Emil Bisgaard holder keynote på Version2 Infosecurity torsdag d. 3. maj kl. 14.30. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere