Artikel top billede

Her er de farligste data-huller for CIO'en - vær ekstra forsigtig her

ComputerViews: Har du nu også helt styr på alle de data, som du forventes at have styr på? Se nogle af de farligste compliance-huller, som du har i din virksomhed.

ComputerViews: Blandt de vigtige opgaver for enhver it-afdeling og CIO er sikringen af virksomhedens vitale oplysninger, af følsomme kunde-data og andre oplysninger.

It-chefen skal have nøje styr på alle forretningsgange, og han skal være sikker på, hvor disse følsomme data er - og hvor og hvordan de bevæger sig i organisationen.

Kompleksiteten er til at føle på, og den bliver ikke mindre i en tid, der er præget af massiv decentral it-brug i virksomhederne, hvor medarbejderne i stor stil anvender smartphones, tablet-computere, apps og flere forskellige computere til de samme opgaver.

Lad os tage et kig på de områder, der udgør de største trusler mod høj compliance. Og hvad du kan gøre for at imødekomme dem.

Medarbejderne

Medarbejderne er både den største trussel og det største aktiv i arbejdet med at få sikker data-håndtering i hele butikken - ikke mindst i en tid, hvor data ofte flytter sig på kryds og tværs mellem både private og arbejdsrelaterede maskiner og de sociale medier inddrages mere og mere i det daglige arbejde.

Der skal ikke meget til, før vi står med en datalæk. Og alle medarbejderne møder jævnligt forsøg på phishing og snooping.

Løsningen ligger lige for: Masser af uddannelse og oplysning om, hvordan man håndterer de følsomme data. Og hvorfor det er vigtigt, at de ikke kommer nogen steder.

Kan andre læse med, når medarbejderne sidder med deres computer ude i felten? Som det tidligere er sket for kendt dansk erhvervsmand, hvilket du kan læse mere om her.

Er alle medarbejderne fortrolige med phishing-teknikker? Og på hvor sikre deres maskiner og computere egentlig er?

Det handler med andre ord om at have en fornuftig og forståelig sikkerheds-politik, som kan kommunikeres klart ud til medarbejderne.

Fra fødsel til død

Sikkerheds-politikken bør omfatte regler for hele den transport-cyklus, som informationerne går igennem - altså regler lige fra informationen bliver skabt, over deling, transport, lagring og afskaffelse.

Hvem har lov til at gøre hvad med hvilke informationer? Hvem må gemme? Og hvor? Hvem må slette dem fra virksomhedens servere?

Hvem har tilladelse til hvilken type adgang (trådløs? Mobil? Fysisk?) til hvilke data? Og hvornår.

Og hvilke sikkerhedsforanstaltninger træder i kraft, når medarbejderne er ude i marken?

Disse maskiner skal du passe ekstra meget på

Bærbare computere

Mange digitale medarbejdere er i dag udstyret med bærbare computere, som de kan medbringe til møder, hos kunder og som de kan tage med hjem, hvis det brænder på.

For it-afdelingen er det her værd at overveje, om medarbejderne nu også har brug for at kunne flytte fuldt udstyrede computere rundt over det hele.

Højst sandsynligt vil det være en god idé at indføre særlige regler for de bærbare computere, der ganske vist skal være i stand til at udføre arbejds-opgaverne, men som skal være renset for både følsomme data samt data, der kan øge risikoen for infiltrering af andre it-systemer.

Mobiltelefoner og tablet

Det burde være givet, at følsomme data ikke skal behandles mere lemfældigt, bare fordi de behandles på en smartphone.

Men det bliver de ofte alligevel.

Flere rapporter har dokumenteret, at mange organisationer har utilstrækkelig kontrol med de data, som flyder ind og ud af medarbejdernes mobiltelefoner, der ofte også anvendes til private formål, sociale medier og lignende - eller bare ligger og flyder rundt omkring.

Ud fra et sikkerheds-synspunkt vil det altid være smartest, at alle medarbejderne har samme type smartphone. Hvilket de færrest i dag har.

Under alle omstændigheder bør it-afdelingen altid sigte efter at have mulighed for at fjern-slette kritiske data på en smartphone, der anvendes til forretningskritiske opgaver.

Ligeledes bør arbejds-telefonerne konfigureres, så kun bestemte arbejds-applikationer kan downloades eller tilgås. Kontrol er et kodeord.

It-afdelingen bør også overveje at anskaffe sig krypteringsløsninger, så data sikres.

Og så bør man holde sig fra smartphones eller styresystemer, som må formodes at være mere usikre end andre.

Skygge-it - den mest alvorlige trussel

Shadow-it

Her har vi det måske mest alvorlige område lige nu, når det handler om sikring af følsomme data.

Mange medarbejdere er allerede i dag dygtige til it, og de kan være svære at styre, hvis de falder over en eller anden smart løsning eller en smart device, som de mener kan være til gavn for dem og deres opgaver.

Det giver grobund for den såkaldte skygge-it. Betegnelsen dækker over brugen af tredjeparts-teknologier, som er helt ude af it-afdelingen og it-chefens kontrol og som dermed udgør en akut sikkerheds-risiko.

Det kan eksempelvis dreje sig om personlige mail-konti, udveksling af store filer via forskellige tjenester og lagrings-løsninger og lignende.

Igen handler det i meget stor udstrækning om opdragelse og uddannelse af medarbejderne, der skal forstå, hvad der må bruges til hvad. Og hvad der er absolut no go.

Og så skal CIO'en selvfølgelig sørge for, at medarbejderne hele tiden har adgang til relevante løsninger, der dækker de behov, som de ellers selv vil gå i gang med at finde.

Cloud-løsninger

Kan du være sikker på, at dine data bliver behandlet sikkert og fortroligt, hvis du placerer dem hos en cloud-leverandør?

Nej, ikke altid. Men nogle gange.

Der gælder forskellige regler i de enkelte lande, og som cloud-kunde kan det være svært at danne sig et nøjagtigt overblik over sikkerheds- og fortroligheds-niveauet.

Du kan kræve garantier, og leveringsaftalen bør indeholde nøjagtige beskrivelser af niveauerne på dette område, ligesom leverandøren bør kunne dokumentere, at han lever op til de forskellige compliance-standarder.

Læs også:

Undersøgelse: Er dine danske data sikre hos IBM, Google, Apple, CSC eller Microsoft?

Sådan får du styr på kritisk data på ansattes private devices

Sådan bliver smartphonen en komplet arbejdscomputer




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere


Dynamics Excellence Day 2021 - indblik, best practice og øget værdi

Med Microsoft Dynamics 365 er Microsoft rykket mod skyen og har fuld integration til både Dynamics, CRM, Office 365, Power BI og Cortana. Det giver utrolig mange muligheder, hvis du griber det rigtigt an. Vi sætter fokus på værdiskabelse og forbedring for både nuværende og nye Dynamics-brugere.

07. oktober 2021 | Læs mere


CISO Trends 2021: Sikkerhed, trusler og strategi

Vi kan ikke komme uden om, at CISO'ens rolle bliver mere og mere markant i de fleste organisationer grundet det evigt omskftelige trusselsbillede. It-sikkerhed er forlængst blevet en forretningskritisk disciplin, hvor dele af og hele organisationer kan blive lagt ned af at enkelt angreb. Derfor ser vi nærmere på det overordnede trusselsbillede, og hvordan CISO'erne konstant skal være på vagt over for nye trusler.

12. oktober 2021 | Læs mere