Återhämtning från personuppgiftsincidenter

När en personuppgiftsincident redan har tagit plats agerar organisationen för sent med tanke på riskhanteringen. Man måste snabbt få situationen under kontroll så att organisationen så snabbt som möjligt kan återgå till sitt målläge – oavsett om det är en normal nivå, en bättre nivå eller en annan önskad nivå.

Återhämtning är en viktig del av riskhanteringen. Bra sätt att hantera kvarstående risker är

• planering av återhämtningen
• att regelbundet öva på och testa
• återhämtningen.

Återhämtningsplanen ska testas regelbundet och man ska öva på de processer som nämns i den. Om till exempel datasystemets säkerhetskopior anses vara kritiska för organisationens verksamhet ska organisationen

• regelbundet testa att säkerhetskopiorna fungerar
• öva på att utnyttja säkerhetskopior och
• utveckla säkerhetskopiornas kvalitet
• överväga hur ofta säkerhetskopior ska tas
• säkerställa att den identifierade risken inte också riktas mot säkerhetskopior.

I återhämtningsplanen ska man också dra upp riktlinjer för den interna och externa kommunikationen under återhämtningen. Bra, rättidig och rätt riktad kommunikation stöder återhämtningen och riskhanteringen.

Processer är inte eviga. Eftersom den digitala verksamhetsmiljön utvecklas hela tiden kan ändringarna kräva att organisationens skyddsprocesser uppdateras.

Ändringar kan till exempel ske i organisationens

• verksamhet
• intressentgrupper
• verktyg eller
• system.

Den digitala verksamhetsmiljön, nätbrottsligheten och verktygen utvecklas hela tiden. Därför är det nödvändigt att utveckla både skyddsprocesserna och kompetensen. Bortglömda föråldrade processdiagram gynnar inte organisationen om risken realiseras.

Om ändringen inte förutsätter ändringar i skyddsprocesserna, dokumentera även denna observation. På så sätt vet man i din organisation att man då och då har funderat på ändringsbehoven.

Gör en omfattande tidslinje över återhämtningen samt en promemoria där du antecknar följande saker:

1. vad som har gjorts och när
2. hurdana resurser som har utnyttjats och
3. vilka effekter och händelser som observerades.

Genom att analysera dessa uppgifter kan du göra organisationens skyddsprocesser effektivare och snabbare.

Under coronatiden samlade man till exempel in rikligt med information om hur man snabbt och inom en mycket kort tid ändrar organisationens verksamhetskultur.

Med hjälp av bevisen från mätningen kan du motivera vikten av de ekonomiska resurser som använts för digital säkerhet och som behövs för det i framtiden.

Indikatorerna kan också utnyttjas till exempel

• för att genomföra ansvarsskyldigheten (till exempel i anslutning till kraven i dataskyddsförordningen) samt
• vid störningar (för att påvisa resursfördelning för digital säkerhet samt för uppföljning av resurser och kontrollerad utveckling av dem).

Att beakta säkerheten i all verksamhet är utgångspunkten för en stark kultur för digital säkerhet. En sund kultur för digital säkerhet är inte bara rätt slags reaktioner på en störningssituation eller en högklassig återhämtning. En stark säkerhetskultur hjälper också din organisation att utveckla sin verksamhet.

Organisationens verksamhet under normala förhållanden och i störningssituationer samt hela organisationens verksamhetskultur ska utvecklas systematiskt och regelbundet.

Din organisations resiliens, riskbenägenhet och förmåga att ta risker byggs upp under normala förhållanden. Vid störningar gynnas din organisation av en stark säkerhetskultur både i återhämtningen och i utvecklingen av verksamheten.

Artificiell intelligens kan till exempel medföra betydande ändringsbehov för i utvecklingen av kompetensen hos sakkunniga i din organisation eller för kundernas förväntningar Förbered er på förändringarna redan på förhand så att ni kan svara på ändringsbehoven på ett kontrollerat och planmässigt sätt. Att förbereda sig på förhand är ofta mer kostnadseffektivt än att reagera utan en plan.