Dataläckageskydd enligt ISO 27001:2022 – Kontroll 8.12

ISO 27001 kontroll 8.12 kräver att organisationer ska förhindra obehörig åtkomst, överföring eller extraktion av information. Många företag har fortfarande inte full koll på vad detta innebär i praktiken.

Vad är dataläckage?

Dataläckage innebär att information nås, överförs eller extraheras av obehöriga personer eller system - både interna och externa. Detta inkluderar:

Interna hot:

• Medarbetare som kopierar kunddata till privata enheter
• Anställda som skickar affärshemligheter till konkurrenter
• Personal som tar med sig känslig information när de slutar
• Oavsiktlig delning av konfidentiella dokument

Externa hot:

• Cyberbrottslingar som stjäl data genom intrång
• Hackare som utnyttjar sårbarheter för att komma åt information
• Skadlig programvara som extraherar data automatiskt
• Industrispionage från konkurrenter

Systemrelaterat läckage:

• Felkonfigurerade databaser som exponerar information
• Osäkra API:er som läcker data
• Backup-system utan kryptering
• Molntjänster med bristande åtkomstkontroll

Vad kräver kontroll 8.12?

Kontroll 8.12 säger att organisationer ska tillämpa åtgärder för dataläckageskydd på system, nätverk och andra enheter som behandlar, lagrar eller överför känslig information.

Detta innebär att ni måste:

• Förhindra obehörig åtkomst till känslig information
• Upptäcka när någon försöker komma åt eller kopiera skyddad data
• Blockera otillåten överföring av information
• Övervaka både interna medarbetare och externa system
• Reagera snabbt när potentiella läckage upptäcks

Tekniska skyddslager

Frågan som kommer upp ofta är "Hur skyddar vi oss?" och tankarna går då direkt till tekniska verktyg. Nedan har vi en lista på olika verktyg som finns för att göra det. Men - läs vidare - det är djupare än så.

Mimecast Incydr, Endpoint Protector, Teramind och Microsoft Purview är alla exempel på tekniska lösningar för att hantera interna hot.

Men du behöver även skydda dig mot externa hot och se till att ha kontroll över vad era system kan göra. Verktyg som Forcepoint, Zscaler, Netscope, Microsoft Defender, m.fl kommer då in i scopet.

Efter det börjar ni kanske även fundera över lösningar som Symantec Data Loss prevention eller IBM Guardium.

Kort sagt - listan över leverantörer som kan leverera tekniska lösningar är lång och exakt vad som passar er bör grunda sig i en risk-analys - inte att det är tekniskt häftigt.

Det ni bör göra innan ni börjar fundera över systemskydd

Dokumentation och styrning

Innan ni går på de tekniska lösningarna måste ni förstå vad det är ni ska lösa:

• Policyer som definierar vad som är tillåtet och förbjudet
• Rutiner för hantering av känslig information
• Utbildning om både interna och externa hot
• Incidenthantering när läckage upptäcks
• Regelbunden riskbedömning av nya hot

Identifiera informationstillgångar

Kartlägg vilken känslig information ni hanterar:

• Personuppgifter och GDPR-data
• Affärshemligheter och immaterialrätt
• Finansiell information och PCI-data
• Teknisk dokumentation och källkod

Analysera hotbilden

Förstå varifrån hoten kommer:

• Vilka medarbetare har tillgång till känslig data?
• Vilka externa parter kan nå era system?
• Vilka tekniska sårbarheter finns?
• Hur ser era dataflöden ut?

Tips: Med AmpliFlow kan ni enkelt dokumentera och följa upp alla dessa delar enligt ISO 27001s krav. Det är här ni genomför verksamhetsstyrning av de tekniska lösningarna.

Implementera skyddslager

Först nu är det dags att börja tänka på att bygga upp ett tekniskt försvar på flera nivåer:

• Förebyggande åtgärder: Åtkomstkontroll och kryptering
• Upptäckande åtgärder: Övervakning och loggning
• Responsiva åtgärder: Automatisk blockering och incidenthantering

Nu även klokt att säkerställ att skyddet fungerar, och att göra dessa saker till en återkommande del av hur ni arbetar med informationssäkerhet:

• Genomför penetrationstester
• Simulera interna hot-scenarion
• Testa incidenthanteringsprocesser
• Validera att legitim verksamhet inte påverkas

FAQ - Vanliga frågor

Måste vi köpa dyra tekniska lösningar för att klara kontroll 8.12?

Nej, inte nödvändigtvis. ISO 27001 kräver inte specifika tekniska produkter. Ni kan implementera dataläckageskydd genom en kombination av:

• Policyer och rutiner som begränsar hur känslig data får hanteras
• Utbildning som lär medarbetare att identifiera och undvika risker
• Organisatoriska åtgärder som åtkomstkontroll och behörighetsstyrning
• Befintliga verktyg som redan finns i era system

Exempel: Istället för att köpa Google DLP kan ni skapa regler om att känslig data inte får lagras i Google Drive, eller bara tillåta specifika mappar med begränsad åtkomst.

Vi har inte budget för tekniska DLP-lösningar. Går vi igenom revisionen ändå?

Ja, om ni hanterar risken korrekt. Följ dessa steg:

1. Dokumentera risken - beskriv vad som kan hända om data läcker
2. Beräkna kostnad vs. nytta - visa att DLP-investeringen är större än den potentiella skadan
3. Få ledningens godkännande - toppchefen måste acceptera risken formellt
4. Implementera alternativa åtgärder genom policyer och rutiner

Detta kallas riskacceptans och är helt tillåtet enligt ISO 27001.

Räcker det med policyer och rutiner för dataläckageskydd?

Det beror på er riskprofil. Fråga er:

• Vilken typ av känslig data hanterar ni?
• Hur stor är den potentiella skadan vid läckage?
• Vilka hot står ni inför (interna vs. externa)?
• Finns det regulatoriska krav (GDPR, patientdatalagen)?

För många mindre företag räcker välskrivna policyer kombinerat med utbildning och grundläggande tekniska åtgärder. Större organisationer med mycket känslig data behöver oftast mer avancerade tekniska lösningar.

Hur dokumenterar vi dataläckageskydd i AmpliFlow?

Nedan är icke uttömmande exempel (det finns såklart många sätt att göra det som passar just er) på hur du kan lösa det genom att bara dokumentera m.h.a sidor i AmpliFlow:

Informationsklassificeringspolicy:

• Definiera vad som räknas som känslig data
• Regler för hantering av olika informationstyper
• Krav på märkning och skydd av dokument

IT-säkerhetspolicy:

• Regler för internetanvändning och e-post
• Tillåtna kommunikationskanaler för känslig data
• Krav på lösenord och åtkomstskydd

Säkerhetsrutiner för IT-avdelningen:

• Procedures för nätverksövervakning
• Logggranskningsrutiner
• Incidenthanteringsprocess

Riskregister:

• Identifierade dataläckagerisker
• Valda åtgärder eller riskacceptans
• Uppföljning och regelbunden omvärdering

Vad händer om vi inte implementerar kontroll 8.12 alls?

Detta är inte ett alternativ. Kontroll 8.12 är obligatorisk i ISO 27001. Ni måste antingen:

• Implementera kontrollen genom tekniska eller organisatoriska åtgärder
• Acceptera risken formellt med ledningens godkännande
• Visa att kontrollen inte är relevant för er verksamhet (mycket ovanligt)

Att helt ignorera kontrollen kommer att leda till att ni inte klarar revisionen.

Hur ofta måste vi uppdatera vårt dataläckageskydd?

Regelbundet, minst årligen. Kontrollera:

• Nya hot och sårbarheter som kan påverka er
• Förändringar i verksamheten som skapar nya risker
• Uppdateringar av regelverk som påverkar kraven
• Effektiviteten av befintliga åtgärder
• Nya tekniska möjligheter som kan förbättra skyddet

Dokumentera alla ändringar i ert ledningssystem och se till att medarbetarna får uppdaterad utbildning.

Vanliga misstag

• Att bara fokusera på externa hot: Studier visar att majoriteten av dataläckage kommer från insiders
• Att glömma tredjeparter: Leverantörer och partners kan också utgöra risker
• Att inte övervaka privilegierade användare: IT-administratörer och chefer behöver extra övervakning
• Att missa mobila enheter: Smartphones innehåller ofta lika känslig data som datorer

Nästa steg

1. Genomför en hotanalys - identifiera både interna och externa risker
2. Kartlägg informationsflöden - förstå hur data rör sig i organisationen
3. Prioritera skyddsåtgärder baserat på risk och påverkan
4. Dokumentera allt i ert ledningssystem enligt ISO 27001-krav
5. Välj tekniska lösningar som täcker alla identifierade hot

Dataläckageskydd enligt ISO 27001 kräver en helhetssyn där ni skyddar er mot både välmenande medarbetare som gör fel och skadliga aktörer som aktivt försöker stjäla er information.

‍