Fra compliance udfordringer til cloud-forretningsmuligheder

Vi ser et stigende antal af virksomheder på tværs af brancher, der opfatter IT-Governance og herunder compliance som fundamental for deres forretningsstrategi og risikohåndtering af virksomhedens omdømme. Denne nyere opfattelse bunder ikke mindst i de krav, der findes i GDPR.

Den stigende cloud-lagring af følsomme data medfører en stigende bekymring for at miste overblikket over præcist, hvor data lagres, hvem der kan tilgå data, og hvordan disse benyttes. Det er afgørende at man efterlever compliance regler i cloud, men det kan være lidt af en udfordring. Denne artikel fremhæver 4 fokusområder for virksomheder, der starter rejsen mod fuld compliance og gerne vil vende complianceudfordringer til forretningsmuligheder.

1. Identifikation af persondata

I arbejdet med databeskyttelse og evnen til at kunne svare på forespørgsler fra de registrerede personer er det første vigtige skridt, at identificere alle personhenførbare oplysninger. Men hvad dækker ”personhenførbare oplysninger” præcist over i de komplekse juridiske definitioner? Persondata dækker over enhver information, der kan benyttes direkte eller indirekte identificere en fysisk person. Det kan være alt fra et navn, foto, e-mail, bankinformationer, webartikler, forfattede dokumenter, lokationsdata, IP-adresser, helbredsoplysninger, skatteforhold mm.

Mulighed: at afdække fuldt ud, hvad persondata er i konteksten for medarbejdere og kunder, og derefter centralisere den data, der bor i organisationen både i fysisk og digital form. Det betyder, at din forretning er klar til at finde og tilgå oplysninger, hvilket forbedrer processer eller tjenester direkte relateret til jeres kunder og medarbejdere. Findes der klare procedurer for de forskellige områder er det med til at give virksomheden værdi. De er med til at sikre ejerskab, fast livscyklus, effektiv udførelse, samt sikring af kvaliteten for opgaverne. Hvilket også reducerer udgifterne, da processer er med til at øge produktivitet af den enkelte og de ressourcer man bruger.

2. Iværksættelse af data governance

Traditionelt set blev datasporbarhed af oplysningernes eller datas oprindelse, ændringer og adgangskontrol ikke vurderet som vigtigt, og det er derfor ofte gået tabt ved flytning på tværs af komplekse processer. At få en kompetent og fuld organisatorisk data governance plan på plads, er nu fundamentet for compliance. Organisationer, der vægter cloud som en del af deres forretnings infrastruktur værdsætter dens økonomi, skalérbarhed og redundans, men data distribueres længere ud og over flere kontaktpunkter, hvilket gør vedligeholdelse af en compliancemodel udfordrende.

Mulighed: løbende proaktiv identificering og vurdering af risici for kritiske systemer og data lader virksomheder demonstrere compliance i cloud og være på forkant mod evt. risikoer. Identificeringen og klassificering af kritisk data og kortlægning af deres afhængigheder samt den kontinuerlige vurdering af infrastrukturen sikrer et højt datakvalitetsniveau. Herpå sikre ejerskab både på systemer og data.

3. Identitetshåndtering

Håndtering af identiteter er et andet vigtigt aspekt i vedligeholdelsen af fuld compliance. Kontrol af brugertilgange betyder, at du har styr på adgangen til jeres data og kan begrænse adgangen, såfremt det er eller bliver nødvendigt. Den løbende vedligeholdelse af adgangen kan være en tids- og ressourcekrævende opgave.

Muligheder: beskyttelsen af brugeradgangen til data er afgørende for datasikkerhed, hvilket kan opnås med nye teknologier, der kan effektivisere processen. Din virksomhed har evnen til at kontrollere, hvor længe indhold skal fastholdes og løbende revidere, hvordan brugere benytter data. Ligeledes er det muligt at tilknytte labels til filerne for at forhindre uautoriseret kopiering, forsendelse og deling.

4. Dataresidens

Med GDPR skal virksomheder være i stand til at dokumentere, hvilke data de lagrer og deres præcise fysiske lokation samt beskyttelse. Datakryptering beskytter informationer på mobile enheder inklusive dataoverførsler. Ved at flytte data fra intern lagring til cloud bliver du nødt til omhyggeligt at undersøge og dokumentere, hvor data lagres for at sikre, at du overholder lovgivningen. Er uheldet ude, så kan det blive dyrt, da en bøde potentiel kan være op til 4% af den global omsætning for den enkelte virksomhed.

Muligheder: sikring af et højt niveau af datakryptering og beskyttelse i organisationen som et effektivt middel mod uautoriseret adgang i tilfælde af tyveri af mobile enheder. I samarbejdet med en cloudleverandør er det desuden afgørende at have en klar og gennemskuelig kontrakt med en ansvarsopdeling mellem dataejer og -behandler på plads. Kig efter din leverandørs efterlevelse af internationale IT-governance og -compliance standarder. Sørg for der er udarbejdet en databehandleraftale med dig som dataansvarlig og cloud-leverandøren som databehandler. Sikre herefter at der udarbejdet instrukser til databehandleren, såfremt tildeling af adgange til data eller lignede skal igennem en bestemt proces.

Vedligehold kontinuerlig compliance

Compliance er vigtig for enhver organisation med databehandling og især med dele af sit virke i cloud. For at opnå kontinuerlig compliance er organisationer nødsaget til at erstatte traditionelle processer baseret på forældet teknologi med innovativ og best-practice teknologi, hvilket kan opfattes som ressourcekrævende. Men med kontinuerlig compliance bliver automatisering vejen frem, der resulterer i tids- og omkostningsbesparelser, datacentralisering og kontrol samt øget overordnet driftseffektivitet.