19 jun. 2020
Opnå højere sikkerhed i dine arbejdsgange ved brug af automatisering

Opnå højere sikkerhed i dine arbejdsgange ved brug af automatisering

Forfattere
Philip Sandahl Johansen

EY Danmark, Cybersecurity advisor, Technology Consulting

Løsningsorienteret cyber-konsulent med fokus på teknisk og organisatorisk informationssikkerhed, der servicerer kunder i både den private og den offentlige sektor.

Morten Rasmussen

EY Danmark, Rådgiver inden for Intelligent Automation, Business Consulting

Teknisk funderet konsulent med fokus på intelligente løsninger på forretningsmæssige problemstillinger og optimering af forretningsprocesser.

19 jun. 2020
Relaterede emner Consulting Cybersecurity Digital Law

Mange virksomheder har forskellig opfattelser af begrebet ’sikkerhed’, som bruges i forbindelse med fx it-sikkerhed, produktsikkerhed, fysisk sikkerhed, databeskyttelse og compliance.

Hos EY opfordrer vi til at bygge bro imellem områderne, så forstærkende effekter udnyttes. Vi ser sikkerhed som værende en proaktiv implementering af sikkerhedsforanstaltninger, der kan sikre tilgængelighed, integritet og fortrolighed af virksomheders person- og forretningsdata. Eksempler på sikkerhedsforanstaltninger, som kan reducere risikoen for fejl, sikkerhedshændelser og/eller sikkerhedsbrud og derved bidrage til en bedre sikkerhed, inkluderer:

  • Opsætning af automatisk sletning i systemer, hvorved det sikres, at data ikke opbevares uhensigtsmæssigt længe.
  • Opsætning af automatisk validering af kunde- eller medlemshenvendelser til sikring af korrekt identitet.
  • Automatisering af rutineprægede og manuelle arbejdsgange, hvorved højere effektivitet opnås, og risiko for fejl reduceres.

Vi ser automatisering af arbejdsgange, som er velegnede til minimering af risici, da det giver mulighed for standardisering, herunder hvordan data behandles og gemmes. Yderligere kan der ved automatisering implementeres sikkerhedsforanstaltninger direkte i systemer og arbejdsgange.

Virksomheder ser ikke fordelene ved at koble sikkerhed og automatisering sammen

Vi oplever, at der ofte ikke er dialog mellem de parter, som driver sikkerheds- og automatiseringsagendaen. Ved at ændre denne tilgang til en proaktiv implementering af sikkerhed i arbejdsgange minimeres risikoen for fejl, og samtidig sikres det, at den automatiserede arbejdsgang designes med sikkerhed for øje.

Indførslen af GDPR og de seneste årtiers stigende trend i hackerangreb har understreget vigtigheden af, at sikkerhed implementeres direkte i arbejdsgange og systemer. Særligt to grupper af aktører forårsager fejl eller sikkerhedsbrud:

  • Hackere. De som sidder på spring for at udnytte sårbarheder i it-systemer, applikationer, hos medarbejdere m.m. og oftest har et mål om at opnå en kritisk indsigt, som kan udnyttes (fx kriminel adfærd).
  • Medarbejdere. Forårsager oftest ubeviste fejl i systemer, applikationer eller arbejdsgange, som kan føre til uhensigtsmæssig deling eller tilgængeliggørelse af data.

Automatisering kan øge sikkerhed i arbejdsgange og systemer

Vigtigheden af sikkerhed og databeskyttelse gennem design og standardindstillinger for implementerede systemer og arbejdsgange blev i maj 2018 cementeret af persondataforordningen, som satte en streg under arbejdsgiverens ansvar for at afveje og implementere passende sikkerhedsforanstaltninger.

Automatisering af arbejdsgange er velegnet for databehandlingsaktiviteter, som udføres med en høj grad af rutine. Det danner grundlag for både effektivisering og højere sikkerhed, da automatiserede arbejdsgange kan udføres døgnet rundt i højt tempo med relevant sikkerhed designet direkte. Derved kan følgende effekter opnås:

  • Mindre risiko for angreb, såsom phishing, da gængse automatiseringer ofte ikke kan interagere med udefrakommende trusler.
  • Loginoplysninger til systemer deles ikke, og der er ikke behov for at nedskrive passwords.
  • Ingen medarbejdere, ikke engang administrator, behøver at kender et givent systems loginoplysninger.
  • Fysisk sikkerhed højnes som følge af, at der ikke er behov for fysisk adgang til systemer og komponenter, da automatisering ofte udføres i en virtuel infrastruktur.
  • Begrænsning af adgange til udvalgt person- og forretningsdata.

Anerkendte aktører inden for automatiseringssoftware, såsom BluePrism og UiPath, har også øget fokus på implementering af sikkerhed. De ser automatisering som et værktøj til at designe arbejdsgange med sikkerhed i centrum.

Sikkerheden i arbejdsgange kan altså forbedres ved hjælp af automatisering. Sikkerhed indarbejdes som rutine ved kortlægning, design eller justering af arbejdsgange, ligesom det er god skik at arbejde med gode annoteringer og kommentering i udviklingen af en løsning. Når der arbejdes med at udvælge processer til automatiseringer, arbejdes der med gængse kriterier, såsom volumen af sager, tid til udførelse pr. sag m.v. Yderligere bør sikkerhed også være en del af kriterierne, som ligger til grund for udvælgelsen, da sikkerhed er et vigtigt parameter i en digitaliseret arbejdsgang. Jo højere krav til sikkerhed, jo vigtigere er det at automatisere processen.

Kom nemt og effektivt i gang

Vi oplever, at virksomheder med mange kunder eller medlemmer har omstændelige arbejdsgange vedrørende håndtering af henvendelser, enten telefonisk eller via mail/chat. For disse arbejdsgange er der en øget risiko for fejlhændelser eller sikkerhedsbrud, hvilket er en kendt problemstilling, som adskillige gange har ligget til grund for Datatilsynets afgørelser omkring fejl i behandlingen af persondata.

En analyse af potentiale for implementering af sikkerhed i systemer og arbejdsgange kan være løsningen. Denne øvelse forudsætter et godt kendskab til den nuværende it-infrastruktur og -organisation. Analysen foretages med det formål at identificere risici i de eksisterende arbejdsgange og dernæst vurdere, hvorvidt de risici kan reduceres ved implementering af sikkerhedsforanstaltninger i arbejdsgangen (fx anonymisering, validering, automatisk sletning m.m.).

  • Udvælg og kortlæg relevante arbejdsgange.
  • Analyser arbejdsgangene separat, og kortlæg den eksisterende sikkerhed for hver enkelt arbejdsgang.
  • Dokumenter muligheder for forbedring af sikkerhed og effektivitet ved henholdsvis implementering af sikkerhed og/eller automatisering.

Hvordan arbejder vi med sikkerhed og automatisering hos EY?

Hos EY anvender vi egne ressourcer, som arbejder på tværs af funktionelle fagområder, hvorved der opnås en unik tværfaglig tilgang til opgaver, hvor sikkerhed, compliance og automatisering er i fokus.

  • Technology Consulting og vores automatiseringsteam har stor erfaring med automatiseringsprojekter i både den private og offentlige sektor samt på tværs af applikationer og arbejdsgange. Som rådgiver inden for teknologi er sikkerhed en indgroet del af tilgangen til design og implementering af automatisering.
  • Cybersecurity-teamet har i en årrække arbejdet fokuseret med rådgivning om informationssikkerhed herunder persondataforordningen, bl.a. i forbindelse med kortlægning af arbejdsgange, gennemførelse af risikovurderinger og konsekvensanalyser, fastsættelse af passende sikkerhedsforanstaltninger og analyse af potentiale for forbedring af sikkerheden i arbejdsgange.
  • EY’s juridiske persondatateam (EY Law) har i flere år rådgivet og supporteret både private og offentlige kunder i ind- og udland med implementering og overholdelse af databeskyttelsesforordningen, bl.a. i forhold til gennemførelse af datakortlægning og udarbejdelse af gap-analyser, vurdering af lovgrundlag, oplysningspligten, databehandlerrelationer og -aftaler, fastsættelse af sletterutiner, DPO-services generelt m.v.

Kontakt os, hvis du er interesseret i sparring vedrørende din virksomheds sikkerhed og arbejdsgange, eller hvis du vil have afdækket potentialet for implementering af højere sikkerhed og automatisering. 

Sammendrag

Sikkerhed opfattes forskelligt af mange virksomheder, og sættes oftest i forbindelse med områder som it-sikkerhed, produktsikkerhed eller databeskyttelse. I artiklen kommer vi ind på, hvordan virksomheder kan udnytte de forstærkede effekter ved at bygge bro mellem områderne. Samtidig giver vi et overblik over potentialet ved at implementere højere sikkerhed og automatisering.

Om denne artikel

Forfattere
Philip Sandahl Johansen

EY Danmark, Cybersecurity advisor, Technology Consulting

Løsningsorienteret cyber-konsulent med fokus på teknisk og organisatorisk informationssikkerhed, der servicerer kunder i både den private og den offentlige sektor.

Morten Rasmussen

EY Danmark, Rådgiver inden for Intelligent Automation, Business Consulting

Teknisk funderet konsulent med fokus på intelligente løsninger på forretningsmæssige problemstillinger og optimering af forretningsprocesser.