Artikel top billede

Her er de farligste data-huller for CIO'en - vær ekstra forsigtig her

ComputerViews: Har du nu også helt styr på alle de data, som du forventes at have styr på? Se nogle af de farligste compliance-huller, som du har i din virksomhed.

ComputerViews: Blandt de vigtige opgaver for enhver it-afdeling og CIO er sikringen af virksomhedens vitale oplysninger, af følsomme kunde-data og andre oplysninger.

It-chefen skal have nøje styr på alle forretningsgange, og han skal være sikker på, hvor disse følsomme data er - og hvor og hvordan de bevæger sig i organisationen.

Kompleksiteten er til at føle på, og den bliver ikke mindre i en tid, der er præget af massiv decentral it-brug i virksomhederne, hvor medarbejderne i stor stil anvender smartphones, tablet-computere, apps og flere forskellige computere til de samme opgaver.

Lad os tage et kig på de områder, der udgør de største trusler mod høj compliance. Og hvad du kan gøre for at imødekomme dem.

Medarbejderne

Medarbejderne er både den største trussel og det største aktiv i arbejdet med at få sikker data-håndtering i hele butikken - ikke mindst i en tid, hvor data ofte flytter sig på kryds og tværs mellem både private og arbejdsrelaterede maskiner og de sociale medier inddrages mere og mere i det daglige arbejde.

Der skal ikke meget til, før vi står med en datalæk. Og alle medarbejderne møder jævnligt forsøg på phishing og snooping.

Løsningen ligger lige for: Masser af uddannelse og oplysning om, hvordan man håndterer de følsomme data. Og hvorfor det er vigtigt, at de ikke kommer nogen steder.

Kan andre læse med, når medarbejderne sidder med deres computer ude i felten? Som det tidligere er sket for kendt dansk erhvervsmand, hvilket du kan læse mere om her.

Er alle medarbejderne fortrolige med phishing-teknikker? Og på hvor sikre deres maskiner og computere egentlig er?

Det handler med andre ord om at have en fornuftig og forståelig sikkerheds-politik, som kan kommunikeres klart ud til medarbejderne.

Fra fødsel til død

Sikkerheds-politikken bør omfatte regler for hele den transport-cyklus, som informationerne går igennem - altså regler lige fra informationen bliver skabt, over deling, transport, lagring og afskaffelse.

Hvem har lov til at gøre hvad med hvilke informationer? Hvem må gemme? Og hvor? Hvem må slette dem fra virksomhedens servere?

Hvem har tilladelse til hvilken type adgang (trådløs? Mobil? Fysisk?) til hvilke data? Og hvornår.

Og hvilke sikkerhedsforanstaltninger træder i kraft, når medarbejderne er ude i marken?

Disse maskiner skal du passe ekstra meget på

Bærbare computere

Mange digitale medarbejdere er i dag udstyret med bærbare computere, som de kan medbringe til møder, hos kunder og som de kan tage med hjem, hvis det brænder på.

For it-afdelingen er det her værd at overveje, om medarbejderne nu også har brug for at kunne flytte fuldt udstyrede computere rundt over det hele.

Højst sandsynligt vil det være en god idé at indføre særlige regler for de bærbare computere, der ganske vist skal være i stand til at udføre arbejds-opgaverne, men som skal være renset for både følsomme data samt data, der kan øge risikoen for infiltrering af andre it-systemer.

Mobiltelefoner og tablet

Det burde være givet, at følsomme data ikke skal behandles mere lemfældigt, bare fordi de behandles på en smartphone.

Men det bliver de ofte alligevel.

Flere rapporter har dokumenteret, at mange organisationer har utilstrækkelig kontrol med de data, som flyder ind og ud af medarbejdernes mobiltelefoner, der ofte også anvendes til private formål, sociale medier og lignende - eller bare ligger og flyder rundt omkring.

Ud fra et sikkerheds-synspunkt vil det altid være smartest, at alle medarbejderne har samme type smartphone. Hvilket de færrest i dag har.

Under alle omstændigheder bør it-afdelingen altid sigte efter at have mulighed for at fjern-slette kritiske data på en smartphone, der anvendes til forretningskritiske opgaver.

Ligeledes bør arbejds-telefonerne konfigureres, så kun bestemte arbejds-applikationer kan downloades eller tilgås. Kontrol er et kodeord.

It-afdelingen bør også overveje at anskaffe sig krypteringsløsninger, så data sikres.

Og så bør man holde sig fra smartphones eller styresystemer, som må formodes at være mere usikre end andre.

Skygge-it - den mest alvorlige trussel

Shadow-it

Her har vi det måske mest alvorlige område lige nu, når det handler om sikring af følsomme data.

Mange medarbejdere er allerede i dag dygtige til it, og de kan være svære at styre, hvis de falder over en eller anden smart løsning eller en smart device, som de mener kan være til gavn for dem og deres opgaver.

Det giver grobund for den såkaldte skygge-it. Betegnelsen dækker over brugen af tredjeparts-teknologier, som er helt ude af it-afdelingen og it-chefens kontrol og som dermed udgør en akut sikkerheds-risiko.

Det kan eksempelvis dreje sig om personlige mail-konti, udveksling af store filer via forskellige tjenester og lagrings-løsninger og lignende.

Igen handler det i meget stor udstrækning om opdragelse og uddannelse af medarbejderne, der skal forstå, hvad der må bruges til hvad. Og hvad der er absolut no go.

Og så skal CIO'en selvfølgelig sørge for, at medarbejderne hele tiden har adgang til relevante løsninger, der dækker de behov, som de ellers selv vil gå i gang med at finde.

Cloud-løsninger

Kan du være sikker på, at dine data bliver behandlet sikkert og fortroligt, hvis du placerer dem hos en cloud-leverandør?

Nej, ikke altid. Men nogle gange.

Der gælder forskellige regler i de enkelte lande, og som cloud-kunde kan det være svært at danne sig et nøjagtigt overblik over sikkerheds- og fortroligheds-niveauet.

Du kan kræve garantier, og leveringsaftalen bør indeholde nøjagtige beskrivelser af niveauerne på dette område, ligesom leverandøren bør kunne dokumentere, at han lever op til de forskellige compliance-standarder.

Læs også:

Undersøgelse: Er dine danske data sikre hos IBM, Google, Apple, CSC eller Microsoft?

Sådan får du styr på kritisk data på ansattes private devices

Sådan bliver smartphonen en komplet arbejdscomputer




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere