Computerworld News Service:
Tager dine tidligere medarbejdere immateriel ejendom (intellectual property, IP) med sig, når de forlader virksomheden?
Eller endnu værre, skaber nyansatte risiko for sagsanlæg mod din organisation ved at medbringe immateriel ejendom, som de har stjålet fra deres sidste arbejdsgiver?
Et nyt globalt survey fra Symantec og The Ponemon Institute viser, at halvdelen af alle medarbejdere, der blev afskediget eller sagde op i løbet af de sidste 12 måneder, beholder fortrolige data fra deres tidligere arbejdsgiver, mens 40 procent heraf oplyser, at de har planer om at bruge disse data i deres nye job.
I oktober og november 2012 gennemførte The Ponemon Institute et survey af 3.317 personer fra USA, Storbritannien, Frankrig, Brasilien, Kina og Sydkorea.
Respondenterne var gennemsnitligt 35 år og fra virksomheder med gennemsnitligt 7.000 medarbejdere.
Mere end halvdelen af respondenterne tilstår, at de e-mailer forretningsdokumenter fra deres arbejde til deres private e-mailadresser.
41 procent oplyser at gøre det mindst en gang om ugen. Samme andel fortæller, at de downloader immateriel ejendom til deres private tablets eller smartphones.
Gør da ikke noget forkert
"Størstedelen af de medarbejdere, der overfører arbejdsdokumenter ud af virksomheden, er ikke rigtigt klar over, at de gør noget forkert," forklarer Tim Matthews, der er chef for produktmarkedsføring i Data Loss Prevention Group hos Symantec.
"Mange ender med at Gmaile materiale til sig selv, så de kan arbejde på det fra deres hjemmecomputer. Og vi ved for eksempel, at en femtedel af alle hjemmecomputere er inficeret med malware."
En af grundene til dette problem er ifølge The Ponemon Institute, at de fleste medarbejdere tror, at der ikke er noget galt med at overføre forretningsdata til deres personlige enheder eller cloud-tjenester.
"En tredjedel giver udtryk for den holdning, at det er OK, så længe medarbejderen ikke selv får nogen økonomisk vinding ud af det, mens cirka halvdelen retfærdiggør deres handlinger ved at mene, at det ikke er til skade for virksomheden," skriver The Ponemon Institute i sin rapport.
Få tre gode råd til håndtering af tyveri
"Andre mener, at virksomhederne selv bærer ansvaret, fordi de ikke strikt håndhæver reglerne og proaktivt sikrer dataene. Disse resultater peger på, at medarbejderne enten ikke er klar over eller anderkender deres egen rolle i forhold til at sikre fortrolige data tilhørende virksomheden."
Herudover er det muligt, at medarbejderne har en ret afslappet holdning til data ejet af virksomheden, fordi de tror, at det er den person, der har skabt materialet, der har ejerskabet over det, fremhæves det i rapporten.
"Stillet overfor et tænkt scenarie, hvor en softwareudvikler genbruger kildekode, han eller hun har skabt til en anden virksomhed, vurderer 42 procent af respondenterne, at der ikke er noget forkert i det, og at den givne softwareudvikler bør have en andel af ejerskabet over sine egne frembringelser," står der i rapporten.
"De tror, at udvikleren har ret til at genbruge koden, selv når udvikleren ikke har tilladelse fra virksomheden. Disse resultater fremstiller dagens vidensarbejder som uvidende om, at intellectual property tilhører virksomheden."
Forurener virksomheden
Ikke alene er det et problem for den virksomhed, der mister immateriel ejendom, men det er også et potentielt stort problem for den virksomhed, der ansætter en medarbejder, der medbringer stjålet immateriel ejendom i sit nye arbejde.
"Det skaber potentiale for forurening af virksomhedens intellectual property," kommenterer Matthews. "Det handler ikke blot om et brud på sikkerhede n eller et tab af forretningsdata. Nu har du også et potentielt søgsmål på halsen."
Medarbejderne bærer dog ikke det fulde ansvar for problemet, mener Matthews, da mange virksomheder ikke klarer at udvikle en ordentlig sikkerhedskultur.
Kun 38 procent af de adspurgte medarbejdere svarer, at deres chef ser datasikkerhed som en forretningsprioritet, mens 51 procent mener, at det er acceptabelt at tage forretningsdata med sig hjem, fordi deres virksomhed ikke strikt håndhæver reglerne på området.
"Kort sagt, så gør virksomhederne ikke noget ved det," siger Matthews.
"Og fordi det ikke har nogen konsekvenser - der er ingen kontrol - så begynder folk at føle, at de kan slippe af sted med det, fordi virksomhederne er ligeglade. Virksomhederne bruger ikke tid på at kontrollere, hvad der sker med deres intellectual property."
Sådan håndterer du tyveri
Matthews har tre anbefalinger til, hvordan man håndterer risikoen for internt tyveri af immateriel ejendom:
Oplys dine medarbejdere:
Som virksomhed er man nødt til at oplyse sine medarbejdere om forsvarlig omgang med immateriel ejendom og hjælpe dem til at forstå, at det er forkert at tage fortrolige dokumenter med sig hjem.
Derfor skal du kigge grundigt i kontrakten
Opmærksomhed angående tyveri af immateriel ejendom bør være en integreret del af den almindelige oplysning om procedurerne for datasikkerhed.
Håndhæv fortrolighedsaftalerne:
Næsten halvdelen af tilfældene af internt tyveri af materiale havde virksomheden en aftale på plads med den givne medarbejder angående immateriel ejendom.
Det peger på, at virksomhederne er nødt til at benytte et tydeligere sprog i sådanne aftaler. Herudover bør et afskedsinterview indeholde fokuserede samtaler om medarbejdernes fortsatte ansvar for at beskytte fortrolige oplysninger og tilbagelevere alle virksomhedens data og ejendomme.
Her er det vigtigt, at medarbejderne forstår, at reglerne vil blive håndhævet, og at eventuelle krænkelser kan få negative konsekvenser for dem selv og deres eventuelle fremtidige arbejdsgivere.
Brug løsninger til monitorering:
Implementer en databeskyttelses-løsning, der holder styr på uretmæssig adgang til og anvendelse af immateriel ejendom, og som automatisk gør medarbejderne opmærksomme på det, hvis de bryder reglerne.
Det vil øge opmærksomheden på god sikkerhedspraksis og nedsætte forekomsten af tyveri.
Her er den bedste kur
"Hvad angår mobile medarbejderes tyveri af forretningshemmeligheder, så er forebyggelse den bedste kur," kommenterer Dave Burt, der er stifter af Mobility Legal P.C.
"Vi oplever konstant, at afgående medarbejdere ikke forstår deres forpligtelser med hensyn til at holde på forretningshemmeligheder, men vi oplever lige så tit virksomheder med særdeles mangelfulde procedurer til beskyttelse af værdifuld IP," påpeger Burt.
"Men alle taber, når en mobil medarbejder stjæler forretningshemmeligheder, og det gælder både virksomheden, som investerede i IP'en; medarbejderen som stjal den; og den virksomhed, som modtager den - også selvom det sker uden virksomhedens kendskab - da denne virksomhed som regel må forsvare sig i et efterfølgende søgsmål."
"Før medarbejderes afsked bør man gennemgå eventuelle aftaler, de sandsynligvis ikke har kigget på i årevis, finde frem til alle de steder medarbejderne har gemt følsomme forretningsdata og sørge for at få dem tilbage, og desuden sikre sig, at medarbejderne forstår deres fortsatte forpligtelser til ikke at bruge eller røbe virksomhedens forretningshemmeligheder."
Oversat af Thomas Bøndergaard