2018 har varit ett viktigt år för efterlevnaden. Fokus har varit på dataskydd och organisationer har varit tvungna att omvärdera hela sina datahanteringsprocesser för att följa den nyligen införda GDPR.
Det råder ingen tvekan om att denna lagstiftning har varit en katalysator för förändring, men den oroväckande ökningen av cyberattacker har också gjort det viktigt att skydda värdefulla kunduppgifter.
I takt med att attackerna blir mer sofistikerade måste organisationer bli mer proaktiva i sin strategi för cybersäkerhet för att säkerställa att de är utrustade för att hantera dessa nya hot.
Detta innebär att de måste försvara de uppgifter de har och vidta alla nödvändiga åtgärder för att se till att de inte blir nästa företag som drabbas av intrång och som hamnar på nyheternas förstasidor.
Trots detta engagemang för förbättrad datasäkerhet finns det ett antal problem som organisationer kan stöta på under det kommande året och som utgör ett hot mot deras fortsatta efterlevnad.
De fem största problemen med IT-bestämmelser och efterlevnad som organisationer kommer att ställas inför under 2019
GDPR
Den mycket omtalade GDPR trädde i kraft den 25 maj och lägger nya grunder för hur organisationer behandlar och hanterar data framöver. Lagstiftningen har moderniserat dataskyddsreglerna och ger nu enskilda personer större kontroll över vem som samlar in och behandlar deras uppgifter, vad de används till och hur de skyddas.
Organisationer måste kunna visa att de följer lagstiftningen, annars riskerar de höga böter på upp till 4 % av den globala årsomsättningen eller 20 miljoner euro. Böterna beror också på hur allvarlig överträdelsen är och om organisationerna har vidtagit åtgärder för att visa att de följer lagstiftningen.
Den 25 maj var dock inte på något sätt en slutpunkt för GDPR. Att visa att man följer GDPR är en pågående process och organisationer måste kontinuerligt identifiera och åtgärda integritets- och säkerhetsrisker för att se till att de inte bryter mot lagstiftningen.
Förordningen om integritet och elektronisk kommunikation
Organisationer har ägnat de senaste sex månaderna åt att sätta sig in i GDPR och de måste redan nu förbereda sig på en ny EU-förordning som kräver samma efterlevnad av EU-lagstiftningen.
Förordningen om integritet och elektronisk kommunikation förväntas genomföras inom de närmaste 6-12 månaderna och den kommer att ta hänsyn till den tekniska utvecklingen och fokusera särskilt på individens integritet i samband med elektronisk kommunikation. Detta kommer att omfatta uppgifter på webbplatser, SMS, e-post, sociala nätverk, bloggar, appar, VoIP, video, meddelanden i sociala medier och IoT-enheter.
Även om det finns en viss överlappning mellan GDPR och e-privacyförordningen är den viktigaste skillnaden att GDPR omfattar hantering av personuppgifter i alla former, medan e-privacyförordningen omfattar elektronisk kommunikation. Organisationer måste visa att de följer lagstiftningen fullt ut, annars riskerar de samma höga böter som i GDPR.
Förordningen om integritet och elektronisk kommunikation kommer att gälla för alla och alla länder som tillhandahåller elektroniska kommunikationstjänster till EU, men den förväntas påverka vissa sektorer mer än andra. Branscher som marknadsföring, reklam och media kommer inte att kunna skicka reklammaterial till kunder utan deras samtycke.
Tredjepartsleverantörer av tjänster
Cybersäkerhet och efterlevnad har nu blivit viktiga prioriteringar för organisationer, men ett område som tenderar att glömmas bort är tredje parter. Under de senaste åren har det blivit vanligt att organisationer använder en mängd olika tredjepartsleverantörer för att stödja centrala affärsfunktioner, och ofta har många av dessa parter tillgång till företagets interna system och data. Denna sammankoppling utgör en stor risk för en organisations säkerhet och efterlevnad.
Organisationer kan ha järnhårda säkerhets- och försvarssystem på plats, men hackare är alltför medvetna om att det enklaste sättet att kringgå dessa försvarssystem är att utnyttja sårbarheter i tredjepartssystem. Dessa leverantörer har vanligtvis inte samma robusta cybersäkerhetsförsvar och utgör en lätt svag punkt för attacker.
Några av de största cyberattackerna i historien är ett resultat av intrång från tredje part och en nyligen genomförd undersökning av Soha Systems visade att 63 procent av alla cyberattacker kan spåras antingen direkt eller indirekt till tredje part.
Framöver måste organisationer bedöma sin cybersäkerhet från flera olika håll och se till att deras externa leverantörer följer lämpliga riktlinjer och system. Enligt dataskyddsförordningen är organisationer nu juridiskt skyldiga att försäkra tillsynsmyndigheter om att deras externa tjänsteleverantörer följer de nya bestämmelserna genom att ha bra cybersäkerhet och integritetsskyddskontroller på plats.
Anställda
Anställda kan vara din största tillgång, men de är också din svagaste länk. Cyberbrottslingar riktar ofta in sig på organisationens anställda eftersom de är det enklaste sättet att infiltrera ett system.
88 % av alla dataintrång kan tillskrivas mänskliga fel, så det är viktigt att organisationer investerar i högkvalitativ utbildning i cybersäkerhet som gör det möjligt för personalen att inse den viktiga roll de spelar när det gäller att skydda känsliga företagsdata.
Utbildningen kommer inte bara att utbilda personalen om de olika hot som de möter internt, utan den kommer också att ta upp de cybersäkerhetsrisker som de möter när de arbetar på distans. Distansarbete kan innebära en allvarlig säkerhetsrisk som kan göra organisationens IT-nätverk, system och enheter mycket sårbara för attacker. Den information som finns på mobila enheter är extremt värdefull för cyberbrottslingar och de kommer att utnyttja alla brister i säkerheten för att stjäla dessa känsliga uppgifter.
En effektiv utbildning i cybersäkerhet kommer att utbilda personalen, minska risken för dataintrång och bidra till att bygga upp en kultur av ökad säkerhetsöverensstämmelse.
Programvaruhantering
För att organisationer ska kunna uppfylla kraven måste de skydda varje åtkomstpunkt för att se till att hackare inte kan ta sig in i deras system. En av huvudorsakerna till cyberattacker är system som inte är uppdaterade. Nya sårbarheter upptäcks hela tiden, och om inga korrigeringar görs kommer hackare att utnyttja dessa sårbarheter för att ta sig in i ett nätverk.
Genom att patcha säkerställer man att alla programvaror som används inom en organisation är uppdaterade med de senaste versionerna från tillverkaren. Organisationer måste vara proaktiva i sin inställning till patching för att se till att de kan upptäcka eventuella sårbarheter innan en hackare gör det.
MetaPrivacy har utformats för att erbjuda bästa praxis för att uppfylla kraven på dataskydd. Kontakta oss för mer information om hur vi kan hjälpa din organisation att förbättra sin struktur för efterlevnad.