Kan man sikre seg mot alt – teknologi og ansattes adferd?

Informasjonssikkerheten i mange bedrifter ligger i hodene til de som forvalter den. Er det slik at ledelsen ikke helt vet hva man ikke vet?  Teknologi utvikler seg raskt,  brukerne er både kreative og kompetente – de finner sine egne veier og skillet mellom privat og yrkesliv viskes ut.  Dette er forhold som har betydning for ansattes digitale adferd. Ledelsen bør sette seg i førersetet!

Vi snakker om hvordan man kan sikre seg mot datatrusler i bedriften og om man i det hele tatt kan gjøre det til det fulle.

Risikovurdering og konsekvensanalyse er ikke akkurat moteord, men viktig likevel. Det er en påstand, men ofte vet man ikke at man trenger det, i hvert fall ikke før en skade har skjedd, og av og til vet man heller ikke at en skade har skjedd. Mange har et bevisst forhold til at man ikke eksponerer seg for hvem som helst gjennom brannmurer mot Internett, men det vi snakker om her er brukernes adferd.

Har du i din bedrift f.eks. tenkt over hva som er akseptabel bruk av bedriftens datautstyr og programvare og hvordan det er tenkt at systemporteføljen i bedriften skal brukes?

Tilgjengelighet på informasjon kan bryte med det at vi ikke ønsker informasjon på avveie. Det åpner opp og man må ta noen valg for å sikre. Det samme gjelder brukervennlighet og arbeidsflyt som må sees opp mot retningslinjer og ønsket nivå av sikkerhet. Hva med ansattes kreativitet kontra sikring av informasjonen? Mange er svært kompetente databrukere, men det betyr ikke at de har god systemforståelse. Det må du ofte være fagmann for å forstå.  Og vi ønsker vi ikke å drepe kreativitet i organisasjonen. Uansett er det slik at man må prioritere og ta noen valg –   et ”ja” til noe betyr som regel at man sier ”nei” til noe annet.

Mulige kilder til at det kan gå galt

Gjennom Internett banker til enhver tid ”hele verden på din dør” og vil inn. Det er vanskelig å lage tekniske spesifikasjoner som blokkerer uakseptabel bruk. Mange ting handler om brukernes kompetanse og ønsker. Endel vanskeligheter kan omgås rent teknisk, men for å sikre seg bedre må du ta i bruk andre mekanismer enn det. Vi snakker om å lage retningslinjer, en avtale og en gjensidig forståelse i bedriften.

Områder som du bør tenke på er:

  • Har du tenkt over hva den enkelte åpner av vedlegg fra avsendere med uønskede hensikter? Bør det utvikles en sunn skepsis og rutiner for hva man kan svare på?
  • Hva med lagring og klassifisering av ulik informasjon. I ytterste konsekvens kan det begås lovbrudd uten at man vet det (ref det nye personverndirektivet).
  • Er det greit for bedriften at ansatte bruker bedriftens datautstyr i privat sammenheng og hva er i så fall greit og ikke greit?
  • Hvordan skal Internett brukes på jobb?
  • Hva med innleid arbeidskraft og hvilken type tilgang skal de ha?
  • Hvordan skal trådløst nettverk benyttes – gjestenettverk kontra bedriftens interne nettverk (dersom en gjest får tilgang til bedriftens nettverk kan han fort få tilgang til data som det ikke er ønskelig å dele med utenforstående).
  • Hva med skytjenester ?
  • Hva kan lagres på maskinene, hva skal lagres i en sky og på en server?
  • Backup – rutiner og oppfølging?
  • Hva med antivirussikringen?
  • Mange har både nettbrett, smarttelefon og PC hvor e-post skal kunne leses overalt. Sikre passord og brukervennlighet er temaer her.

Bevissthet og opplæring

For å sikre at ansatte har en ønsket digital adferd må man først og fremst si hva som er ønskelig, for så å gjøre dem i stand til å forstå og å kunne gjennomføre i praksis.

Vi anbefaler at du lager interne retningslinjer og bruker-kontrakter som regulerer de ansattes rettigheter og forpliktelser for bruk av bedriftens datautstyr og systemer. Beskriv hva som er akseptabel bruk og hvordan det er tenkt at systemporteføljen skal brukes.  En brukeravtale vil så gi føringer for tekniske tiltak som er nødvendig og for oppfølging og kontroll.

Invester i opplæring!  Det er ikke lurt å slurve med det. Økt kompetanse gir økt forståelse og bevissthet – som i sin tur sannsynligvis gir økt respekt for de retningslinjer som skapes.

Bevissthet som gjør at man kan unngå å gjøre feil.

Man får ikke sikret seg 100%. Den siste feilen er rett og slett ikke funnet enda. Men man kan gjøre et stykke arbeid for å minimere risiko så godt som mulig. Få temaet opp på agendaen, gjøre risiko- og konsekvensanalyse, lage brukeravtaler og gi opplæring. Det er vårt råd. Snakk også gjerne med IT-leverandøren din.

*   *    *

Datatilsynet har utviklet veiledere for internkontroll hvis du behandler personopplysninger – og det gjør de aller fleste (info om kunder og ansatte)

Klikk her for veiledning for mindre virksomheter

Her kan du finne wordmaler for informasjonssikkerhet og internkontroll

 

Lurer du på hvor du bør lagre data- (2)