Har du styr på datasikkerheden?

Har du nogensinde tænkt tanken; Hvad vil det koste din virksomhed, hvis oplysninger bliver lækket?
Omkostningen hænger sammen med, hvilken type informationer, der bliver lækket – og omkostningerne kan få store konsekvenser for både økonomi, omdømme, samarbejdspartnere etc.


Der bliver talt meget om brud på dokument sikkerhed. Vi ser artikler i medierne om det, når det sker i store offentlige institutioner og større virksomheder. Men det sker også i små virksomheder – og det sker desværre alt for ofte.

Det er en kæmpe udfordring – og der findes desværre ikke nogen 100% vandtæt løsning på dokumentsikkerhed.

Men hvorfor er sikkerhed så svært? Hvorfor har ingen fundet løsningen endnu? Det er kompliceret – jeg vil forsøge at give mit svar på det her – og mine løsningsforslag til hvordan man trods alt kommer tæt på.

Teknikken – den mindste del af problemet…..
Virksomheder arbejder i dag på mange netværk. Utallige servere er placeret mange forskellige steder til at supportere forskellige brugere og applikationer. Her taler vi ikke bare om fysiske servere, for i dag er der primært tale om virtuelle servere, der oveni også skal supportere utallige forskellige fil-formater.

Det giver hackere et større råderum. For hackere er kloge – og har geniale værktøjer. De er blevet den nye tids kriminelle, som kidnapper fildrev og kræver løsepenge, for at slippe dem løs igen. Desværre slipper de dem sjældent helt løs – og der er et kæmpe oprydningsarbejde at gøre, hvis man først er havnet i hacker-klør.

Medarbejderne – den største sikkerhedsbrist
Det triste er dog, at medarbejderne er den største kilde til sikkerhedsbrud. Den største sikkerhedsbrist sker, selvom medarbejderne, der ikke har et ønske om at bryde sikkerheden, dagligt kommer til det. Enten fordi de falder for hackernes phishing-mails eller ved simpelthen blot at bryde de procedurer, som de burde følge.

Skåret ind til benet, 75% af alle sikkerhedsbrister sker pga menneskelige fejl. De sker fordi;

  • Medarbejderne kender ikke procedurerne
  • Medarbejderne forstår ikke vigtigheden af at følge procedurerne
  • Medarbejderne kan ikke følge procedurerne, da de modarbejder medarbejderens øvrige arbejde

Hvis den eneste måde en medarbejder kan løse en opgave på, er ved at bryde procedurerne, så bliver procedurerne brudt. Men det er også unfair, at man på forhånd udsætter medarbejderen for, at han er tvunget til ikke enten at følge procedurerne eller gøre sit arbejde.

Du kan lave uanede antal hackatons og have styr på al teknikken. Men hvis ikke medarbejderne ved, hvordan de skal forholde sig. Så er der ikke styr på sikkerheden.

Ved du hvad der foregår?
Hvornår opdaterede din virksomheds sidst jeres sikkerhedsprocesser og politikker? Anbefalingen lyder på en årlig revision af dem, og det kan lyde af meget, men så tænk lige et par år tilbage…. Der er sket meget nyt siden, ikk? Derfor er der også brug for en årlig revidering af din virksomheds processer og politikker.

Der er virkelig mange forhold, man som virksomhed bør forholde sig til:

  • Hvordan deler du information med brugerne/medarbejderne i din virksomhed?
  • Hvor ofte opdaterer du dem, om ændringer i sikkerhedsprocedurer?
  • Er der et sted, hvor de nemt kan finde information og træningsmateriale om sikkerhedsprocedurerne?

Jeg nævner lige igen, at medarbejderne er den største risiko for sikkerhedsbrist. Derfor er det SÅ vigtigt, at de kender alle virksomhedens vedtagne processer og politikker.

Hjælp medarbejderne til at kende sikkerhedsprocedurerne
Viden om sikkerhed er nøglen til sikkerhed – og det kræver konstant vedligeholdelse og kommunikation.

Vær sikker på, at alle medarbejdere kender til processerne og politikkerne, som bør være klart definerede i skriftlig og let tilgængelig form.

OG HUSK hele tiden at orientere om ændringer – men også at sikre dig, at brugerne har forstået, hvordan de skal behandle fortrolige data. Du kan ikke bare sende en mail ud og tro, at så ændrer alle adfærd – og følger de udstukne retningslinjer. Du bliver nødt til at følge op på, at det rent faktisk også sker.

Du må også have forståelse for, at brugerne måske gør oprør og beklager sig over ændringerne. For tingene er ikke som de var før – og det kræver måske at de ændrer den måde, de arbejder på. Det tager tid. Det kræver en indsats.

Har din virksomhed retention politikker og sikkerhedsprocedurer?
Hvornår så du sidst, din virksomheds data retention politikker efter i sømmene? Hvis altså I har en data retention politik?

Har I overhovedet overvejet, hvor lang tid din virksomhed ønsker at gemme data? For det kan jo godt være, at det er blevet billigt at gemme flere dokumenter rent fysisk, fordi mulighederne er blevet billigere. Men har du også tænkt på, at jo mere du gemmer, jo mere kan stjæles fra dig?

Dokumenter bliver forældede – og der findes også en række strenge krav til hvad du må gemme. Det er ikke så simpelt bare at gemme dokumenter. Tiderne skifter – konstant. Vær forberedt. Virksomhedens processer må konstant være forberedt på forandring. Der er en række regulativer og love, som hele tiden ændrer sig – og husk, hvis du handler med andre lande, så er det ikke kun de danske og EU-reglerne du skal følge og kende.

Med andre ord. Det er essentielt for din virksomheds dokumentsikkerhed, at I har vedtaget og efterlever data retention politikker og sikkerhedsprocedurer.

Lad mig slutte med det spørgsmål, jeg indledte med; Har du nogensinde tænkt tanken; Hvad vil det koste din virksomhed, hvis oplysninger bliver lækket?