Vad är en kompenserande kontroll för kryptering av data i vila?

En kompenserande kontroll är en alternativ säkerhetsåtgärd som används när den primära kontrollen, till exempel kryptering av data i vila, inte är möjlig. Den ska ge en jämförbar skyddsnivå genom att hantera samma risker, exempelvis konfidentialitet för data om en lagringsenhet förloras eller stjäls. Exempel är skydd mot dataförlust (DLP), strikta åtkomstkontroller och datamaskering.

Godtar revisorer kompenserande kontroller för ramverk som ISO/IEC 27001:2022?

Ja, revisorer godtar väldokumenterade och effektiva kompenserande kontroller. De förväntar sig en formell riskbedömning som motiverar kontrollen, underlag som visar att den tillämpas konsekvent (t.ex. loggar och rapporter) samt bevis för att den effektivt reducerar den ursprungliga risken. Det avgörande är att visa ett moget, riskbaserat arbetssätt, inte att använda kontrollbristen som en ursäkt.

Hur förhåller sig kompenserande kontroller till efterlevnad av GDPR?

GDPR Article 32 kräver ’lämpliga tekniska och organisatoriska åtgärder’ för att skydda personuppgifter. Kryptering är en rekommenderad åtgärd, men den är inte ovillkorligt obligatorisk i alla situationer. Om kryptering av data i vila inte är möjlig kan en robust uppsättning kompenserande kontroller, till exempel pseudonymisering, datamaskering och strikt åtkomstövervakning, bidra till att visa tillbörlig aktsamhet och uppfylla kravet på en lämplig säkerhetsnivå.

Vilka är de vanligaste fallgroparna vid införande av kompenserande kontroller?

Vanliga fallgropar är bristfällig dokumentation, avsaknad av formell riskacceptans från verksamhetsledningen, att kontrollerna inte täcker alla angreppsvektorer (t.ex. att molnsynkroniseringstjänster förbises) samt att deras effektivitet inte testas regelbundet. En kontroll som bara finns på papper ger inget faktiskt skydd och kommer inte att tillfredsställa en revisor.

Kan skydd mot dataförlust (DLP) verkligen ersätta kryptering av data i vila?

DLP ersätter inte kryptering, men kan vara en kraftfull kompenserande kontroll. Kryptering gör data oläsbara om de stjäls. DLP syftar till att förhindra att data stjäls från början genom att övervaka och blockera obehöriga dataöverföringar. Tillsammans med andra lager, såsom strikta åtkomstkontroller och fysisk säkerhet, skapas ett starkt skydd som kan ge en skyddsnivå jämförbar med kryptering för specifika, dokumenterade användningsfall.

NIS2 DORA GDPR NIST COBIT 2019

Kryptering av data i vila är inte möjlig? Informationssäkerhetschefens guide till robusta kompenserande kontroller

Clarysecs redaktion

November 25, 2025

18 min read

#Riskhantering #Revision #ISMS #Dataskydd #Kompenserande kontroller

Flödesschema som illustrerar informationssäkerhetschefens process i tre faser för att införa kompenserande kontroller för kryptering av data i vila, inklusive riskbedömning, lagerindelade skyddsåtgärder (DLP, datamaskering, åtkomstkontroll) och revisionsdokumentation för ramverken ISO 27001, GDPR och NIST.

Revisionsiakttagelsen landade på informationssäkerhetschefen Sarah Chens skrivbord med en välbekant tyngd. En kritisk äldre databas som genererade intäkter och utgjorde det operativa navet i företagets produktionslinje hade inte stöd för modern kryptering av data i vila. Den underliggande arkitekturen var tio år gammal och leverantören hade sedan länge upphört med säkerhetsuppdateringar. Revisorn markerade den, med rätta, som en väsentlig risk. Rekommendationen var tydlig: ”Kryptera alla känsliga data i vila med branschstandardiserade algoritmer.”

För Sarah var detta inte bara ett tekniskt problem, utan en kris för verksamhetskontinuiteten. En uppgradering av systemet skulle innebära månader av driftstopp och kostnader på flera miljoner, vilket styrelsen inte kunde acceptera. Samtidigt var det en oacceptabel risk att lämna en stor mängd känsliga immateriella tillgångar okrypterade, och en tydlig avvikelse från organisationens ledningssystem för informationssäkerhet.

Detta scenario speglar cybersäkerhetens verklighet, där perfekta lösningar är sällsynta och efterlevnad inte kan pausas. Det inträffar när kritiska säkerhetskopior lagras på äldre system, när en central SaaS-leverantör hänvisar till ”tekniska begränsningar” eller när högpresterande applikationer inte klarar krypteringens prestandapåverkan. Lärobokssvaret, ”kryptera bara”, kolliderar ofta med en mer komplicerad verklighet.

Vad händer då när den primära, föreskrivna kontrollen inte är möjlig? Man accepterar inte bara risken. Man bygger ett smartare och mer resilient skydd med hjälp av kompenserande kontroller. Det handlar inte om att hitta ursäkter, utan om att visa mogen, riskbaserad säkerhetsstyrning som håller även vid den mest krävande revision.

Varför kryptering av data i vila är ett krav med hög betydelse

Kryptering av data i vila är en grundläggande kontroll i alla moderna säkerhetsramverk, inklusive ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA och NIST SP 800-53 SC-28. Syftet är enkelt men kritiskt: att göra lagrade data oläsbara om fysiska eller logiska skydd brister. Ett förlorat backupband eller en stulen server med okrypterade data är inte bara ett tekniskt misstag; det är ofta en anmälningspliktig personuppgiftsincident.

Riskerna är tydliga och betydande:

Stöld eller förlust av portabla lagringsmedier som USB-enheter och backupband.
Exponering av data från ohanterade, bortglömda eller äldre enheter.
Oförmåga att tillämpa inbyggd disk- eller databaskryptering i specifika SaaS-, moln-, OT- eller äldre miljöer.
Risker vid dataåterställning om kryptografiska nycklar förloras eller hanteras felaktigt.

Dessa krav är inte bara tekniska, utan utgör även rättsliga och regulatoriska krav. GDPR Article 32 och DORA Articles 5 and 10 erkänner uttryckligen kryptering som en ”lämplig teknisk åtgärd”. NIS2 anger den som en basnivå för att säkerställa system- och informationsintegritet. När detta primära skydd inte är möjligt övergår bevisbördan till organisationen, som måste visa att de alternativa åtgärderna är lika effektiva.

Från en enskild kryssruta till lagerindelat skydd

Den spontana reaktionen på en revisionsiakttagelse som Sarahs är ofta panik. Men ett välstrukturerat ISMS förutser sådana situationer. Sarahs första steg var inte att ringa infrastrukturteamet, utan att öppna organisationens Policy för kryptografiska kontroller, ett dokument framtaget med Clarysecs mallar för företag. Hon gick direkt till den klausul som gav grunden för strategin.

Enligt Policy för kryptografiska kontroller beskriver avsnitt 7.2.3 uttryckligen processen för att definiera:

”Specifika kompenserande kontroller som ska tillämpas”

Denna klausul är informationssäkerhetschefens bästa stöd. Den erkänner att ett standardiserat arbetssätt för all säkerhet är bristfälligt och ger en godkänd väg för att hantera risk. Policyn verkar inte isolerat. Som anges i klausul 10.5 är den direkt kopplad till policy för dataklassificering och märkning, som ”definierar klassificeringsnivåer (t.ex. Konfidentiell, reglerade data) som utlöser specifika krypteringskrav”.

Denna koppling är avgörande. Data i den äldre databasen var klassificerade som ”Konfidentiell”, vilket var skälet till att avsaknaden av kryptering markerades. Sarahs uppdrag var nu tydligt: bygga ett så robust skydd av kompenserande kontroller att exponeringsrisken reducerades till en godtagbar nivå.

Utforma en försvarbar strategi med Zenith Blueprint

Kryptering är en hörnsten i modern säkerhet, men som Clarysecs Zenith Blueprint: en revisors 30-stegs färdplan förklarar i steg 21 handlar Kontroll 8.24 Användning av kryptografi inte bara om att ”slå på kryptering”. Det handlar i stället om att ”bygga in kryptografi i organisationens design, policy och livscykelhantering”.

När en del av designen fallerar, i detta fall den äldre databasen, måste policy- och livscykelaspekterna kompensera. Sarahs team använde detta ramverk för att utforma ett flerlagersskydd som utgick från att data aldrig skulle lämna sin säkra, om än okrypterade, behållare.

Kompenserande kontroll 1: Skydd mot dataförlust (DLP)

Om du inte kan kryptera data där de finns måste du säkerställa att de inte kan lämna miljön. Sarahs team införde en DLP-lösning som fungerade som en digital vakt. Det var inte en enkel nätverksregel, utan en avancerad, innehållsmedveten kontroll.

Med hjälp av Clarysecs Zenith Controls: guiden för tvärgående regelefterlevnad konfigurerade de DLP-systemet utifrån vägledningen för ISO/IEC 27001:2022 kontroll 8.12 Skydd mot dataläckage. Reglerna baserades direkt på 5.12 Classification of information. Alla data som matchade scheman för den ”Konfidentiell”-klassade informationen i den äldre databasen blockerades automatiskt från överföring via e-post, webbuppladdningar eller till och med inklistring i andra applikationer.

Som Zenith Controls förklarar:

”Skydd mot dataförlust (DLP) är i grunden beroende av korrekt dataklassificering. Kontroll 5.12 säkerställer att data märks utifrån känslighet … DLP är en specialiserad form av kontinuerlig övervakning som riktas mot dataförflyttning … 8.12 kan genomdriva krypteringspolicyer för data som lämnar organisationen och säkerställa att data, även om de exfiltreras, förblir oläsbara för obehöriga parter.”

Denna kontroll erkänns i flera ramverk och mappar till GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 och NIST SP 800-53 SI-4. Genom att införa den skapade Sarahs team en kraftfull skyddszon som säkerställde att de okrypterade data förblev isolerade.

Kompenserande kontroll 2: Datamaskering för icke-produktionsanvändning

En av de största riskerna med äldre data är användning i andra miljöer. Utvecklingsteamet behövde ofta data från produktionssystemet för att testa nya applikationsfunktioner. Att helt enkelt lämna ut okrypterade, konfidentiella data var uteslutet.

Här använde Sarah steg 20 i Zenith Blueprint, som behandlar 8.11 Data masking. Guiden noterar att revisorer ofta ställer den direkta frågan: ”Använder ni någonsin skarpa personuppgifter i testsystem? Om så är fallet, hur skyddas de?”

Med denna vägledning införde Sarahs team en strikt procedur för datamaskering. Varje datautdrag som utvecklingsteamet begärde behövde gå igenom en automatiserad process som pseudonymiserade eller anonymiserade känsliga fält. Kundnamn, proprietära formler och produktionsmätetal ersattes med realistiska men fiktiva data. Denna enda kontroll eliminerade en mycket stor riskyta genom att säkerställa att känsliga data aldrig lämnade den strikt kontrollerade produktionsmiljön i sin ursprungliga form.

Kompenserande kontroll 3: Härdade fysiska och logiska kontroller

När dataläckage och icke-produktionsanvändning hade hanterats fokuserade det sista skyddslagret på själva systemet. Med utgångspunkt i principerna för 7.10 Storage media från Zenith Controls behandlade Sarahs team den fysiska servern som en tillgång med hög säkerhetsklassning. Även om 7.10 ofta förknippas med flyttbara lagringsmedier är principerna om livscykelhantering och fysisk säkerhet fullt tillämpliga.

Som Zenith Controls noterar om detta ämne:

”ISO/IEC 27002:2022 ger omfattande vägledning under klausul 7.10 för säker hantering av lagringsmedier genom hela livscykeln. Standarden rekommenderar att organisationer upprätthåller ett register över alla flyttbara lagringsmedier …”

Med denna logik flyttades servern till ett särskilt, låst rack i datacentret, med åtkomst endast för två namngivna seniora ingenjörer. Fysiskt tillträde krävde inloggning och övervakades med CCTV. På nätverkssidan placerades servern i ett segmenterat ”legacy”-VLAN. Brandväggsreglerna konfigurerades för att som standard neka all trafik, med en enda uttrycklig regel som endast tillät kommunikation från den utsedda applikationsservern på en specifik port. Denna långtgående isolering minskade angreppsytan kraftigt och gjorde de okrypterade data osynliga och otillgängliga.

Inför revisionen: presentera en försvarbar strategi ur flera perspektiv

När revisorn återkom för uppföljning presenterade Sarah inga ursäkter. Hon presenterade en heltäckande riskbehandlingsplan, komplett med dokumentation, loggar och direkta demonstrationer av teamets kompenserande kontroller. En revision är inte en enskild händelse, utan ett samtal som bedöms ur olika perspektiv. En informationssäkerhetschef måste vara förberedd för vart och ett av dem.

ISO/IEC 27001-revisorns perspektiv: Revisorn ville se operativ effektivitet. Sarahs team demonstrerade hur DLP-systemet blockerade ett obehörigt e-postmeddelande, visade att datamaskeringsskriptet kördes och tillhandahöll loggar över fysiskt tillträde som korsrefererades mot arbetsärenden.

GDPR- och integritetsperspektivet: Revisorn frågade hur uppgiftsminimering genomdrevs. Sarah visade de automatiserade skripten för säker radering av cachelagrade data och pseudonymiseringsprocessen för alla data som lämnade produktionssystemet, i linje med GDPR Article 25 (Dataskydd genom design och som standard). Policy för kryptografiska kontroller för små och medelstora företag tilldelar uttryckligen dataskyddsombudet (DPO) ansvaret att ”säkerställa att krypteringskontroller är förenliga med dataskyddsskyldigheter enligt Article 32 i GDPR”.

NIS2/DORA-perspektivet: Detta perspektiv fokuserar på operativ resiliens. Sarah presenterade testresultat för säkerhetskopiering och återställning av det isolerade systemet samt säkerhetsbilagor från leverantören för den äldre programvaran, vilket visade proaktiv riskhantering enligt NIS2 Article 21 och DORA Article 9.

NIST/COBIT-perspektivet: En revisor som använder dessa ramverk söker styrning och mätetal. Sarah presenterade det uppdaterade riskregistret som visade formell acceptans av kvarstående risk (COBIT APO13). Hon mappade DLP till NIST SP 800-53 SI-4 (systemövervakning), nätverkssegmentering till SC-7 (gränsskydd) och åtkomstkontroller till AC-3 och AC-4. Därmed visade hon att även om SC-28 (skydd av information i vila) inte uppfylldes direkt fanns en likvärdig uppsättning kontroller på plats.

Centralt revisionsunderlag för kompenserande kontroller

För att kommunicera strategin effektivt tog Sarahs team fram underlag anpassat till vad revisorer söker.

Revisionsperspektiv	Nödvändigt underlag	Vanligt revisionstest
ISO/IEC 27001	Poster i riskregister, policyundantagsloggar, DLP-regler, inventarier över lagringsmedier	Granska risk- och undantagsloggar, begär loggar över DLP-åtgärder; följ mediets livscykel.
GDPR	Rutiner för datamaskering, beredskap för incidentanmälan, poster över dataradering	Granska urval av dataset (maskerade respektive omaskerade), testa DLP-utlösare, simulera ett incidentscenario.
NIS2/DORA	Testresultat för säkerhetskopiering/återställning, leverantörers säkerhetsbedömningar, incidenthanteringsövningar	Simulera ett försök till dataexport; granska processer för hantering av säkerhetskopior; testa DLP-kontroller på kritiska data.
NIST/COBIT	Tekniska övervakningsloggar, dokumentation av policyintegration, intervjuer med personal	Simulera dataexfiltration, jämför policy med rutin, intervjua centrala dataförvaltare och systemägare.

Genom att förutse dessa olika perspektiv omvandlade Sarah en potentiell avvikelse till en demonstration av säkerhetsmognad.

En praktisk sammanfattning inför nästa revision

För att göra strategin tydlig och försvarbar skapade Sarahs team en sammanfattande tabell i riskbehandlingsplanen. Det är ett arbetssätt som alla organisationer kan använda.

Risk	Primär kontroll (inte möjlig)	Strategi för kompenserande kontroller	Clarysec-resurs	Underlag för revisor
Obehörigt röjande av data i vila	Heldiskkryptering (AES-256)	1. Skydd mot dataförlust (DLP): Övervaka och blockera alla obehöriga försök till dataexfiltration baserat på innehåll och kontext.	Zenith Controls (8.12)	Konfiguration av DLP-policyer, larmloggar, incidenthanteringsrutiner.
		2. Strikt logisk åtkomstkontroll: Isolera servern i ett segmenterat nätverk med brandväggsregler enligt principen att neka som standard och med mycket begränsad åtkomst för tjänstekonton.	Zenith Controls (8.3)	Nätverksdiagram, uppsättningar av brandväggsregler, användaråtkomstgranskningar, policy för autentiseringsuppgifter till tjänstekonton.
		3. Förstärkt fysisk säkerhet: Placera servern i ett särskilt, låst rack med loggat och övervakat fysiskt tillträde.	Zenith Controls (7.10)	Åtkomstloggar för datacenter, registreringar av CCTV-material, kvittenslistor för racknycklar.
Användning av känsliga data i icke-produktionsmiljöer	Kryptering av kopior av testdata	Datamaskering: Inför en formell procedur för att pseudonymisera eller anonymisera alla datautdrag före användning i test eller utveckling.	Zenith Blueprint (steg 20)	Formellt rutindokument för datamaskering, demonstration av maskeringsskript, exempel på maskerat dataset.

Tvärgående efterlevnad i korthet

En stark strategi för kompenserande kontroller är försvarbar i alla större ramverk. Clarysecs Zenith Controls tillhandahåller korsreferenskartläggningen som säkerställer att skydden förstås och godtas oavsett granskningsperspektiv.

Ramverk	Central klausul/referens	Hur kompenserande kontroller erkänns
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Ett riskbaserat arbetssätt möjliggör alternativa kontroller som DLP, hantering av lagringsmedier och datamaskering när de kan motiveras.
GDPR	Art. 5(1)(f), 25, 32	Kräver ”lämpliga” tekniska åtgärder; pseudonymisering, åtkomstkontroller och DLP kan uppfylla detta om kryptering inte är möjlig.
NIS2	Art. 21, 23	Föreskriver ett riskbaserat arbetssätt; lagerindelade kontroller som DLP, skydd av säkerhetskopior och leverantörskontroller är giltiga riskbehandlingar.
DORA	Art. 5, 9, 10, 28	Betonar operativ resiliens; DLP, åtkomstkontroll och robust loggning är centrala för att skydda finansiella data, med eller utan kryptering.
NIST SP 800-53	SC-28, MP-2 till MP-7, AC-3/4, SI-4	Tillåter kompenserande kontroller; DLP (SI-4), åtkomstbegränsningar (AC-3) och mediespårning (MP-serien) kan hantera riskerna med okrypterade data.
COBIT	DSS05, APO13, MEA03	Fokuserar på styrning och mätning; dokumenterad riskacceptans (APO13) och övervakning av kompenserande kontroller (MEA03) visar tillbörlig aktsamhet.

Slutsats: gör den svagaste länken till en styrka

Berättelsen om den äldre databasen som inte kan krypteras är inte en berättelse om misslyckande. Det är en berättelse om mogen och intelligent riskhantering. Genom att inte acceptera ett enkelt ”det går inte” omvandlade Sarahs team en betydande sårbarhet till ett konkret exempel på organisationens försvar på djupet. De visade att säkerhet inte handlar om att bocka av en enda ruta märkt ”kryptering”. Det handlar om att förstå risken och bygga ett genomtänkt, lagerindelat och verifierbart skydd för att reducera den.

Din organisation kommer förr eller senare att ha sin egen version av denna äldre databas. När du hittar den, se den inte som ett hinder. Se den som en möjlighet att bygga ett mer resilient och försvarbart säkerhetsprogram.

Redo att bygga ett robust, revisionsklart kontrollramverk? Börja med rätt grund.

Granska ditt policyekosystem med Clarysecs heltäckande policyverktyg.
Utforska Zenith Blueprint: en revisors 30-stegs färdplan som stöd för ditt införande.
Använd Zenith Controls: guiden för tvärgående regelefterlevnad för att säkerställa att dina skydd håller vid granskning ur alla perspektiv.

Kontakta Clarysec för en skräddarsydd workshop eller en fullständig bedömning av tvärgående regelefterlevnad. I dagens regulatoriska landskap är förberedelse den kontroll som betyder mest.

Referenser:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council