Kontroll på virksomhetens data?
HVA ANDRE MENER: It er it-avdelingens ansvar, det å beskytte virksomhetens data er lederens. Men vi har alle et ansvar for sikkerheten. Det er på tide å innse at virksomheters data må beskyttes i alle prosesser, men hvor enkelt er det egentlig, spør kronikkforfatter.
Økonomiske tap som følge av svindel eller manipulering av ansatte har vært store og reelle trusler det siste året for norske virksomheter. Det kan være direkte finansielle tap som følge av svindel eller økonomiske tap som følge av data som krypteres og mistes eller må gjenopprettes, uansett er det virksomheten som taper.
Hvor ofte har ikke vi som arbeider med sikkerhet hørt følgende utsagn: Vi har ingenting av verdi, vi...
En verdivurdering vil avsløre at alle virksomheter har noe de ønsker å beskytte, enten det er informasjon om produkter, kunder, saksbehandling eller annen bedriftssensitiv informasjon. Verdien til virksomheten er den informasjonen som gjør at den kan fortsette driften. For å kunne gjennomføre en verdivurdering, etterfulgt av en risiko- og sårbarhetsvurdering, er det imidlertid nødvendig å vite hvor informasjonen, verdien, til virksomheten befinner seg. Det kan være utfordrende hvis de ansatte tar i bruk tjenester som ikke er godkjent eller kjent for virksomheten at benyttes.
Skygge-it er en betegnelse på it som virksomhetens ansatte benytter uten tillatelse fra it- avdelingen. Det kan være utfordrende å finne omfanget av slik bruk i egen virksomhet. En undersøkelse gjennomført av Cloud Security Alliance i 2015 viste at 72 prosent av ledere og it-avdelinger ikke hadde oversikt over skyggeapplikasjoner som ble benyttet i virksomheten. Det kan være vanskelig å forby bruk av slike løsninger, da det er praktisk og ofte rimelige løsninger å bruke. Rigid it-styring kan også være utslagsgivende for at slike løsninger tas i bruk uten it-avdelingens viten.
Sikkerhetsselskaper, media og offentlige etater og sikkerhetsmyndigheter har alle uttalt seg om løsepengevirus de siste årene. Nasjonal Sikkerhetsmyndighet advarer i disse dager om en ny offensiv bølge av løsepengevirus. Når slike varsler sendes ut bør alle virksomheter, små som store se på sine risikovurderinger, har vi med denne trusselen og hvordan kan i så fall dette påvirke vår virksomhet? Hva da med de løsningene som finnes i systemene som it ikke kjenner til og som kan gi uvedkommende adgang til virksomhetens data?
Styrerom og ledere må ta inn over seg at digitaliseringen integreres i bedriftsløsninge.
Bakgrunnen for bruk av ”skygge-it”-løsninger er ofte som følge av ansatte som ønsker å dele informasjon og finner en gratistjeneste de så benytter. Den ansatte tror den sparer virksomheten for penger, men ser ikke at dette kan utsette virksomheten for sårbarheter og angrep fra utenforstående som kan få tilgang til viktig bedriftssensitiv data og kompromittere virksomhetens it-systemer. Dette kan koste virksomheten tid og penger å gjenopprette og med fare for å tape viktige data til uvedkommende.
Det er viktig at virksomheten har klare retningslinjer for de ansatte og tar høyde for at slike løsninger finnes når de vurderer tap av verdier og hvilke sikkerhetsløsninger som må tas i bruk.
De minste virksomhetene og privatpersoner, bør sjekke om man har en sikkerhetskopiering som fungerer. Henvendelser til Norsis fra mindre virksomheter viser at mange ikke kontrollerer at man har en back-up som fungerer. NAS-disker og Dropbox står også i fare for å bli kryptert.
En enkel risikovurdering hvor man tar hensyn til de trusler som er dekket av for eksempel media, bør gjennomføres av alle. Ledere og virksomheters styre kan ikke lenger gjemme seg bak at dette ansvaret er delegert til it- eller sikkerhets-avdelingen. Eller like gjerne til en driftsleverandør.
Endringer i måter man arbeider på skaper endringer og ofte utfordringer i måten å styre it på, men vil også kunne medføre endringer og utfordringer i sikkerhetsarbeidet og hvordan dette styres.
Der det finnes tekniske løsninger som reduserer risikoen for å bli utsatt for kriminelle handlinger bør de tas i bruk. I dag ligger ansvaret for mye hos brukeren og it- og driftsavdelinger. Styrerom og ledere må ta inn over seg at digitaliseringen integreres i bedriftsløsninger, ansvar for fortsatt drift ligger også her, og det krever et minimum av kunnskap for å beskytte verdiene til virksomheten.
Sikkerhetsløsninger skal ikke være en bremsekloss, men en muliggjører for at vi kan ha digitale tjenester.
Peggy Sandbakken Heie er administrerende direktør i Norsis.