ComputerViews: Blandt de vigtige opgaver for enhver it-afdeling og CIO er sikringen af virksomhedens vitale oplysninger, af følsomme kunde-data og andre oplysninger.
It-chefen skal have nøje styr på alle forretningsgange, og han skal være sikker på, hvor disse følsomme data er - og hvor og hvordan de bevæger sig i organisationen.
Kompleksiteten er til at føle på, og den bliver ikke mindre i en tid, der er præget af massiv decentral it-brug i virksomhederne, hvor medarbejderne i stor stil anvender smartphones, tablet-computere, apps og flere forskellige computere til de samme opgaver.
Lad os tage et kig på de områder, der udgør de største trusler mod høj compliance. Og hvad du kan gøre for at imødekomme dem.
Medarbejderne
Medarbejderne er både den største trussel og det største aktiv i arbejdet med at få sikker data-håndtering i hele butikken - ikke mindst i en tid, hvor data ofte flytter sig på kryds og tværs mellem både private og arbejdsrelaterede maskiner og de sociale medier inddrages mere og mere i det daglige arbejde.
Der skal ikke meget til, før vi står med en datalæk. Og alle medarbejderne møder jævnligt forsøg på phishing og snooping.
Løsningen ligger lige for: Masser af uddannelse og oplysning om, hvordan man håndterer de følsomme data. Og hvorfor det er vigtigt, at de ikke kommer nogen steder.
Kan andre læse med, når medarbejderne sidder med deres computer ude i felten? Som det tidligere er sket for kendt dansk erhvervsmand, hvilket du kan læse mere om her.
Er alle medarbejderne fortrolige med phishing-teknikker? Og på hvor sikre deres maskiner og computere egentlig er?
Det handler med andre ord om at have en fornuftig og forståelig sikkerheds-politik, som kan kommunikeres klart ud til medarbejderne.
Fra fødsel til død
Sikkerheds-politikken bør omfatte regler for hele den transport-cyklus, som informationerne går igennem - altså regler lige fra informationen bliver skabt, over deling, transport, lagring og afskaffelse.
Hvem har lov til at gøre hvad med hvilke informationer? Hvem må gemme? Og hvor? Hvem må slette dem fra virksomhedens servere?
Hvem har tilladelse til hvilken type adgang (trådløs? Mobil? Fysisk?) til hvilke data? Og hvornår.
Og hvilke sikkerhedsforanstaltninger træder i kraft, når medarbejderne er ude i marken?
Disse maskiner skal du passe ekstra meget på
Bærbare computere
Mange digitale medarbejdere er i dag udstyret med bærbare computere, som de kan medbringe til møder, hos kunder og som de kan tage med hjem, hvis det brænder på.
For it-afdelingen er det her værd at overveje, om medarbejderne nu også har brug for at kunne flytte fuldt udstyrede computere rundt over det hele.
Højst sandsynligt vil det være en god idé at indføre særlige regler for de bærbare computere, der ganske vist skal være i stand til at udføre arbejds-opgaverne, men som skal være renset for både følsomme data samt data, der kan øge risikoen for infiltrering af andre it-systemer.
Mobiltelefoner og tablet
Det burde være givet, at følsomme data ikke skal behandles mere lemfældigt, bare fordi de behandles på en smartphone.
Men det bliver de ofte alligevel.
Flere rapporter har dokumenteret, at mange organisationer har utilstrækkelig kontrol med de data, som flyder ind og ud af medarbejdernes mobiltelefoner, der ofte også anvendes til private formål, sociale medier og lignende - eller bare ligger og flyder rundt omkring.
Ud fra et sikkerheds-synspunkt vil det altid være smartest, at alle medarbejderne har samme type smartphone. Hvilket de færrest i dag har.
Under alle omstændigheder bør it-afdelingen altid sigte efter at have mulighed for at fjern-slette kritiske data på en smartphone, der anvendes til forretningskritiske opgaver.
Ligeledes bør arbejds-telefonerne konfigureres, så kun bestemte arbejds-applikationer kan downloades eller tilgås. Kontrol er et kodeord.
It-afdelingen bør også overveje at anskaffe sig krypteringsløsninger, så data sikres.
Og så bør man holde sig fra smartphones eller styresystemer, som må formodes at være mere usikre end andre.
Skygge-it - den mest alvorlige trussel
Shadow-it
Her har vi det måske mest alvorlige område lige nu, når det handler om sikring af følsomme data.
Mange medarbejdere er allerede i dag dygtige til it, og de kan være svære at styre, hvis de falder over en eller anden smart løsning eller en smart device, som de mener kan være til gavn for dem og deres opgaver.
Det giver grobund for den såkaldte skygge-it. Betegnelsen dækker over brugen af tredjeparts-teknologier, som er helt ude af it-afdelingen og it-chefens kontrol og som dermed udgør en akut sikkerheds-risiko.
Det kan eksempelvis dreje sig om personlige mail-konti, udveksling af store filer via forskellige tjenester og lagrings-løsninger og lignende.
Igen handler det i meget stor udstrækning om opdragelse og uddannelse af medarbejderne, der skal forstå, hvad der må bruges til hvad. Og hvad der er absolut no go.
Og så skal CIO'en selvfølgelig sørge for, at medarbejderne hele tiden har adgang til relevante løsninger, der dækker de behov, som de ellers selv vil gå i gang med at finde.
Cloud-løsninger
Kan du være sikker på, at dine data bliver behandlet sikkert og fortroligt, hvis du placerer dem hos en cloud-leverandør?
Nej, ikke altid. Men nogle gange.
Der gælder forskellige regler i de enkelte lande, og som cloud-kunde kan det være svært at danne sig et nøjagtigt overblik over sikkerheds- og fortroligheds-niveauet.
Du kan kræve garantier, og leveringsaftalen bør indeholde nøjagtige beskrivelser af niveauerne på dette område, ligesom leverandøren bør kunne dokumentere, at han lever op til de forskellige compliance-standarder.
Læs også:
Undersøgelse: Er dine danske data sikre hos IBM, Google, Apple, CSC eller Microsoft?
Sådan får du styr på kritisk data på ansattes private devices