Trace Id is missing
Gå till huvudinnehåll
Microsoft Security

Vad är datasäkerhet?

Datasäkerhet handlar om att veta vilka data du har, var de finns någonstans och identifiera olika risker kring dem. Lär dig hur du skyddar dina data.

Definition av datasäkerhet

Datasäkerhet hjälper dig att skydda känsliga data under hela dess livscykel, förstå sammanhang för användaraktiviteter och data samt förhindra att data används obehörigt eller förloras.

Det är viktigare än någonsin med datasäkerhet eftersom hoten mot cybersäkerheten och de interna riskerna bara ökar. Du behöver ha insyn i vilka typer av data du har, förhindra att de används obehörigt samt kunna identifiera och motverka olika datarisker. I hanteringen av datasäkerheten används välskrivna policyer och rutiner till att vägleda organisationen kring hur datasäkerheten ska planeras, organiseras och styras.

Typer av datasäkerhet

Om datasäkerheten ska vara effektiv måste den ta hänsyn till hur känsliga datamängderna är och organisationens åtaganden enligt olika regelverk. Här är några typer av datasäkerhet som kan hjälpa dig att skydda mot dataintrång, uppfylla olika regelverk och skydda företagets anseende:

  • Åtkomstkontroll som styr åtkomsten till lokala och molnbaserade data.
  • Användarna autentiseras med lösenord, passerkort och biometriska data.
  • Åtkomsten till data efter systemfel, dataskador eller katastrofer skyddas med hjälp av säkerhetskopiering och återställning.
  • Dataåterhämtning är ett proaktivt sätt att hantera haveriberedskap och affärskontinuitet.
  • Data raderas och kasseras även på ett sätt som inte går att återställa.
  • Programvara för datamaskering använder proxytecken till att dölja bokstäver och siffror från obehöriga användare.
  • Lösningar för dataförlustskydd hindrar att obehöriga användare kommer åt känsliga data.
  • Kryptering gör att obehöriga användare inte kan läsa filer.
  • Informationsskydd kan klassificera känsliga data i filer och dokument.
  • Hantering av interna risker för att motverka riskfyllda användares aktiviteter.

Datatyper som måste skyddas

De som har tappat ett kreditkort eller fått sin identitet stulen brukar börja uppskatta ett effektivt dataskydd efteråt. Illvilliga hackare letar hela tiden efter nya sätt att stjäla personuppgifter och bedriva utpressning, sälja uppgifterna eller använda dem till att förställa sig. Dessutom kan nuvarande och tidigare medarbetare vara inblandade i dataförluster, så dagens organisationer måste även hantera interna risker.

Kraven på vad som måste skyddas och hur det ska göras varierar mellan olika branscher, men här är några vanliga typer av data du måste skydda:

  • Personligt identifierbar information om medarbetare och kunder.
  • Finansiell information som kreditkortsnummer, bankuppgifter och företagets resultatrapporter.
  • Hälsoinformation som behandlingar, diagnoser och testresultat.
  • Immateriella rättigheter som företagshemligheter och patent.
  • Data om verksamheten som information om försörjningskedjan och produktionsprocesser.

Hot mot datasäkerheten

Via internet kan du kommunicera och dela information på en mängd olika sätt, både på jobbet och hemma. Många typer av cyberangrepp och interna risker kan utsätta informationen du delar för olika risker.

  • Hackning

    Hackning avser ett försök att stjäla data, göra intrång i nätverk eller filer, ta över en organisations digitala miljö eller störa verksamheten via en dator. Hackare använder olika metoder som nätfiske, skadlig kod, kodknäckning och DDoS-angrepp.

  • Skadlig kod

    Skadlig kod är en term som används för maskar, virus och spionprogram som gör att obehöriga användare kan komma åt din miljö. När de har tagit sig in kan de här användarna störa IT-nätverket och slutpunkterna, eller stjäla autentiseringsuppgifter som kan ligga och skräpa i filer.

  • Utpressningstrojaner

    Utpressningstrojaner är skadlig kod som förhindrar åtkomsten till nätverk och filer innan du betalar en lösensumma. Du kan ladda ner utpressningstrojaner till din dator genom att till exempel öppna en e-postbilaga eller klicka på en annons. Intrånget upptäcks vanligtvis när du inte kan komma åt filer eller ser ett meddelande om krav på betalning.

  • Nätfiske

    Nätfiske handlar om att lura personer eller organisationer att ge ut information som kreditkortsuppgifter eller lösenord. Avsikten är att stjäla eller skada känsliga data genom att utge sig för att vara ett betrott företag som offret har en relation till.

  • Dataläckage

    Dataläckage är oavsiktliga eller medvetna dataöverföringar från en organisation till en extern mottagare. De kan genomföras med hjälp av e-post, internet och enheter som bärbara datorer eller USB-minnen. Filer och dokument som tas med från kontoret är också en form av dataläckage. 

  • Försumlighet

    Försumlighet är när en medarbetare medvetet bryter mot en säkerhetspolicy utan att aktivt försöka skada företaget. Medarbetaren kan till exempel dela känsliga data med en kollega som inte har åtkomst eller logga in på företagets resurser via en osäker trådlös anslutning. Ett annat exempel är att släppa in någon i byggnaden utan passerkort.

  • Bedrägeri

    Bedrägerier begås av avancerade användare som vill utnyttja anonymiteten online och olika former av realtidsåtkomst. De kan skapa transaktioner med läckta konton och stulna kreditkortsnummer. Organisationer kan utsättas för bedrägerier kopplade till garantier, återbetalningar och vidareförsäljning.

  • Stöld

    Stöld är ett internt hot där data, pengar eller immateriella rättigheter stjäls. Det här görs för personlig vinning och för att skada organisationen. En betrodd leverantör kan till exempel sälja kunders socialförsäkringsnummer på dark web eller använda intern information om kunder till att starta en egen verksamhet.

Tekniker inom datasäkerhet

Datasäkerhetsteknikerna är viktiga delar i en heltäckande säkerhetsstrategi. Olika dataskyddslösningar kan hjälpa dig att upptäcka interna och externa aktiviteter, flagga misstänkt eller riskabel delning av data samt styra åtkomsten till känsliga data. Genom att implementera tekniker som de här kan du förhindra spridningen av känsliga data.

Datakryptering. Med kryptering, där data omvandlas till kod, för data i vila och i rörelse kan du se till att obehöriga användare inte får tillgång till filers innehåll även om de hittar deras lagringsplats.

Autentisering och auktorisering av användare. Verifiera inloggningsuppgifter och bekräfta att åtkomstbehörigheter tilldelas och används korrekt. Med rollbaserad åtkomstkontroll kan organisationen se till att endast de användare som behöver det får åtkomst till data.

Identifiering av interna risker. Identifiera aktiviteter som kan vara tecken på interna risker och hot. Förstå i vilket sammanhang data används och när nedladdningar, e-post till mottagare utanför organisationen och ändrade filnamn kan vara tecken på misstänkt beteende.

Policyer för dataförlustskydd. Ta fram och tillämpa policyer som definierar hur data får hanteras och delas. Ange behöriga användare, appar och miljöer för olika aktiviteter så att inte data läcks eller stjäls.

Säkerhetskopiering av data. Säkerhetskopiera organisationens data så att behöriga administratörer kan återställa dem vid skador på lagringen, dataintrång eller naturkatastrofer.

Aviseringar i realtid. Använd automatiska aviseringar om potentiellt missbruk av data så att ni kan hantera säkerhetsproblem innan de leder till skador på organisationens data, anseende eller kunders och medarbetares integritet.

Riskutvärdering. Förstå att medarbetare, leverantörer, underleverantörer och partner har kunskap om dina data och säkerhetsmetoder. Om du ska kunna förhindra missbruk måste du veta vilka data du har och hur de används inom organisationen.

Datagranskning. Se över viktiga områden som dataskydd, tillförlitlighet och tillgänglighet i regelbundna datagranskningar. Då kan du se vilka som använder organisationens data och hur det görs.

Strategier för att hantera datasäkerheten

Strategin för att hantera datasäkerheten är bland annat de policyer, rutiner och den styrning som hjälper dig att skydda organisationens data.

  • Implementera rutiner för lösenordshanteringen

    Implementera en användarvänlig lösning för att hantera lösenord. Då slipper medarbetarna hantera nedskrivna lappar och kalkylblad, och de behöver inte komma ihåg en massa unika lösenord.
    Använd lösenfraser i stället för lösenord. En lösenfras kan vara enklare för medarbetaren att komma ihåg samtidigt som den är svårare för en cyberbrottsling att gissa.
    Använd tvåfaktorautentisering (2FA). Med 2FA är inloggningen säker även om någon kommit åt en lösenfras eller ett lösenord eftersom den obehöriga användaren inte får åtkomst utan att en ytterligare kod skickas till den sekundära enheten. 
    Byt lösenord efter ett intrång. Om du byter oftare än så kan lösenordsstyrkan minska med tiden.
    Undvik att återanvända lösenfraser eller lösenord. När de väl har spridits används de ofta för att få tillgång till andra konton.

  • Ta fram en försvarsplan

    Skydda känsliga data. Identifiera och klassificera samtliga data med avseende på volym, typ och placering under hela livscykeln.
    Hantera interna risker.Skapa förståelse för användarnas aktiviteter och hur data används för att kunna identifiera potentiellt riskabla aktiviteter som kan leda till säkerhetsincidenter.
    Upprätta ordentliga kontroller och policyer för åtkomsten. Förhindra att känsliga data sparas, lagras eller skrivs ut felaktigt.

  • Skydda data med hjälp av kryptering

    Datakryptering förhindrar att obehöriga användare läser känsliga data. Även om de får åtkomst till datamiljön eller kan se data när de överförs så är de oanvändbara eftersom de inte kan läsas eller förstås.

  • Installera programvara och säkerhetsuppdateringar

    Programvara och säkerhetsuppdateringar åtgärdar kända sårbarheter som cyberbrottslingar använder till att stjäla känslig information. Genom att uppdatera regelbundet kan du åtgärda sådana sårbarheter och förhindra intrång i systemen.

  • Utbilda medarbetarna i datasäkerhet

    Det är inte bara IT-avdelningen som har ansvar för att skydda organisationens data, du måste även utbilda medarbetarna så att de är medvetna om datastölder, spridning och intrång. Era rutiner för datasäkerheten gäller både data online och utskrivna kopior. Formell utbildning bör hållas regelbundet, det kan vara varje kvartal eller en gång om året.

  • Implementera säkerhetsrutiner för distansarbete

    När du implementerar säkerhetsrutiner för distanspersonal ska du börja med att förtydliga de policyer och rutiner som tillämpas. För det här krävs vanligtvis obligatorisk säkerhetsutbildning som tar upp vilken programvara som kan användas och hur det ska göras. Rutinerna bör även omfatta en process för att skydda alla enheter som medarbetarna använder.

Regleringar och efterlevnad

Organisationer måste följa relevanta standarder, lagar och regler kring dataskydd. Det kan gälla att enbart samla in den information du behöver från kunder och medarbetare, aktivt skydda informationen och kassera den på ett korrekt sätt. Några exempel på sådan lagstiftning är GDPR (allmänna dataskyddsförordningen), HIPAA (Health Insurance Portability and Accountability Act) och CCPA (California Consumer Privacy Act).

GDPR är den striktaste lagen (förordningen) rörande datasekretess och säkerhet. Den skrevs och antogs av EU, men organisationer i hela världen är skyldiga att efterleva den om de samlar in personligt identifierbar information om EU-medborgare eller bosatta i EU, eller om de säljer varor och tjänster till dem.

HIPAA skyddar information om patienthälsa från att avslöjas utan patientens kännedom och medgivande. HIPAA Privacy Rule skyddar personlig hälsoinformation och utfärdades för att implementera HIPAA-krav. HIPAA Security Rule hjälper till att skydda identifierbar hälsoinformation som en vårdgivare skapar, tar emot, underhåller eller överför elektroniskt.

CCPA skyddar konsumenters integritet i Kalifornien. De har bland annat rätt att veta vilken personligt identifierbar information som samlas in samt hur den används och delas, de har rätt att få insamlad information raderad och kan neka till att deras personligt identifierbara information säljs vidare.

Dataskyddsombud är en chefsroll som spårar efterlevnaden och ser till att organisationen bearbetar personligt identifierbar information i enlighet med gällande dataskyddslagstiftning. De informerar och hjälper efterlevnadsteam att följa regler, ger utbildning inom organisationen och rapporterar eventuella överträdelser.

När en överträdelse leder till ett dataintrång kan det ofta kosta miljontals dollar för organisationen. Intrång kan leda till stöld av identiteter, förlorad produktivitet och att kunderna flyr.

Slutledning

Datasäkerhet och den tillhörande hanteringen kan hjälpa organisationen att identifiera och utvärdera olika hot, följa lagstadgade krav och bibehålla datasekretessen.

Prioritera att säkerhetskopiera data ofta, förvara säkerhetskopior utanför anläggningen, implementera strategier för hanteringen av datasäkerheten och börja använd starka lösenord eller lösenfraser samt tvåfaktorautentisering.

Grunden till ett starkt försvar på organisationen är att vidta åtgärder för att skydda data under hela livscykeln, förstå hur data används, förhindra dataläckor och införa policyer för dataförlustskyddet.

Lär dig hur du skyddar dina data i moln, appar och slutpunkter med hjälp av rutiner och verktyg för datasäkerhet.

Mer information om Microsoft Security

Microsoft Purview

Utforska lösningar för styrning, skydd och efterlevnad för organisationens data.

Mer information

Hjälp till att förhindra dataförluster

Identifiera olämplig delning eller användning av känsliga data i slutpunkter, appar och tjänster.

Mer information

Hantera interna risker

Lär dig hur du identifierar potentiella risker i medarbetares eller leverantörers aktiviteter.

Mer information

Informationsskydd

Identifiera, klassificera och skydda känsliga data i det digitala landskapet.

Mer information

Vanliga frågor och svar

  • Datasäkerhet används till att skydda känsliga data under hela dess livscykel, förstå sammanhang för användaraktiviteter och data samt förhindra att data används på ett obehörigt sätt. Det handlar om att veta vilka data du har, var de finns någonstans och identifiera olika hot mot dem.

  • Här är några typer av datasäkerhet:

    • Åtkomstkontroller där det krävs inloggningsuppgifter för att komma åt lokala och molnbaserade data.
    • Användarna autentiseras via lösenord, passerkort och biometriska data.
    • Åtkomsten till data efter systemfel, dataskador eller katastrofer skyddas med hjälp av säkerhetskopiering och återställning.
    • Dataåterhämtning är ett proaktivt sätt att hantera haveriberedskap och affärskontinuitet.
    • Dataradering som ser till att data kasseras på rätt sätt och inte kan återställas.
    • Programvara för datamaskering använder proxytecken till att dölja bokstäver och siffror från obehöriga användare.
    • Lösningar för dataförlustskydd hindrar att obehöriga användare kommer åt känsliga data.
    • Kryptering gör att obehöriga användare inte kan läsa filer.
    • Informationsskydd kan klassificera känsliga data i filer och dokument.
    • Hantering av interna risker för att motverka riskfyllda användares aktiviteter.

  • Ett exempel på datasäkerhet är att använda teknik för att identifiera var känsliga data finns någonstans inom organisationen och hur de används.

  • Datasäkerheten är viktig eftersom den skyddar organisationen mot cyberangrepp, interna hot och mänskliga misstag som kan leda till dataintrång.

  • De fyra viktigaste områdena inom datasäkerhet är sekretess, integritet, tillgänglighet och efterlevnad.

Följ Microsoft 365