IT-säkerhet, GDPR och dataskydd. Det är ord som ofta återkommer i både media och affärsvärlden. Men vad är det egentligen? Och hur säkerställer ni som organisation att ert förhållningssätt till GDPR, som ett exempel, omvandlas till en konkurrensfördel istället för en riskfaktor?
Låt oss börja med att beskriva vad dessa termer handlar om. I vardagligt tal används den allmänna termen "efterlevnad" ofta när regler och åtgärder för data- eller säkerhet beskrivs. Regler som vi vet finns här av en anledning, men i vissa fall vet vi inte riktigt varför. Compliance är faktiskt en ganska bra term i det här sammanhanget, och den kan också formuleras som något i stil med "i full överensstämmelse med gällande regler".
Förra året var compliance på allas läppar i full utsträckning. Och precis som med all polemik kring IT-säkerhet runt millennieskiftet var många osäkra på om den allmänna dataskyddsförordningen (GDPR) skulle lägga en tung börda på affärslandskapet och få saker och ting att bryta samman efter den 25 maj 2018, då reglerna trädde i kraft.
Precis som vid millennieskiftet har näringslivet inte brutit samman, men självklart måste vi vara medvetna om att den nya verkligheten innebär ökade risker för företagen, till exempel kopplat till bristande datasäkerhet. Å andra sidan har de strängare reglerna inom flera områden, liksom det ökade fokuset på regelefterlevnad, skapat möjligheter att skapa andra konkurrensfördelar.
En konkurrensfördel
Men hur kan efterlevnad vara en konkurrensfördel? Det kan det, till exempel i de fall där din organisation väljer leverantörer och partners som lever upp till nya eller reviderade regelverk eller till och med arbetar med högre säkerhetsnivåer jämfört med vad som är obligatoriskt. Detta är särskilt tillämpligt när du köper molnbaserat / SaaS solutions som lever upp till lagstiftningen för den nya IT-verkligheten.
Det innebär till exempel att du snabbt, förutsatt att SaaS-leverantören är på topp, kan börja verka på marknader där det kan vara komplicerat att följa de lokala tolkningarna av internationella regler, som i fallet med GDPR. Dessa kan variera mycket mellan olika länder. Det är också ett faktum att de flesta företag föredrar att samarbeta med leverantörer och partners som har sin säkerhet på plats. Med andra ord, om du kan dokumentera en hög nivå av IT-säkerhet hos dina leverantörer och partners, särskilt de viktigaste partnerna, så kommer det att finnas tillfällen då du kan dra nytta av detta faktum i försäljningssituationer.
Välj rätt leverantör
När du väljer en leverantör av molnprogramvara är det mycket viktigt att du gör affärer med någon som har de resurser som krävs för att säkra dina data. Självklart finns det kategorier och affärsområden som är mer kritiska än andra med tanke på vilken typ av data som behandlas. Det är dock mycket viktigt att du har ditt företag helt täckt på alla områden där du använder externa parter för att bearbeta data.
Därför rekommenderar vi starkt att ni ingår individuella personuppgiftsbiträdesavtal (DPA) som följer de regler och tolkningar som gäller för de länder där ni är verksamma. Flera standarder och certifieringar kan vara en vägledning om du vill försäkra dig om att den leverantör du väljer lever upp till gällande regler, lagstiftning och god IT-praxis. De bästa SaaS-leverantörerna kommer dock att erbjuda dig möjligheten att ingå ett heltäckande personuppgiftsbiträdesavtal (DPA) på förhand. Kom ihåg att.
Vissa leverantörer väljer till och med att gå längre och låta sig ISAE 3402 Typ II-certifieras. Detta kan både ske som ett direkt svar på krav från kunder och affärspartners, men anledningen kan också vara att verksamheten vill skicka en signal om hög trovärdighet till marknaden. Denna specifika certifiering är en internationell standard för IT-tjänsteleverantörer, där en hög nivå av säkerhet och kontroll behövs. Detta är särskilt viktigt inom de mer känsliga branscherna som bank och finans, telekom eller den offentliga sektorn. Certifieringen säkerställer att leverantören lever upp till sitt ansvar när det gäller att säkra "moln"-infrastrukturen enligt parametrarna - inklusive datasäkerhet.
Den avslutande rekommendationen från oss är att du noggrant undersöker potentiella leverantörers inställning till datasäkerhet så tidigt som möjligt i din researchfas. Det kan potentiellt spara tid och resurser senare i köpprocessen. Det är ett banalt råd, men det är kanske ändå det viktigaste.