Nettsky-basert forbrukerteknologi benyttes i stor grad av ansatte ved lagring av dokumenter og jobbdata.
En ny undersøkelse utført på vegne av sikkerhetsselskapet Trend Micro antyder at omtrent hver fjerde nordmann benytter slike tjenester på sin jobb-pc – uten at den som er ansvarlig for sikkerhet i virksomheten er klar over det, skriver Computerworld.
Administrerende direktør i Trend Micro Norge, Nils Roald, mener det er problematisk at forbrukeren er tidligere ute med å ta i bruk ny teknologi, enn bedriftene. Forbrukeren er i dette tilfellet også en ansatt, og den mobile hverdagen gjør at det er enkelt å ta i bruk skytjenester som Dropbox, Jottacloud og andre lignende tjenester, når man skal ta med seg dokumenter hjem eller er på reise. Undersøkelsen til Trend Micro Norge viser at kun syv prosent av bedriftene som deltok i undersøkelsen svarer at de har retningslinjer for skylagring på plass.
Tilgjengelig er viktig. Det vet alle som ønsker å jobbe hjemmefra, er på bedriftsreise eller har syke små barn. Lagring i skyen gjør data lett tilgjengelig. Alt man behøver er internett og en nettleser og dokumentene er tilgjengelig.
Skylagring er og har vært et tema over lang tid. At de ansatte benytter slike tjenester er nok mange klar over. Vi har alle sluttet å si; «internett har kommet for å bli». Det er nok på tide å innse at skylagring også «er kommet for å bli». Da er det viktig å ta høyde for dette og lage retningslinjer for bruk. Hva tillates i bedriften? Hva skjer hvis dette ikke overholdes? Er de ansatte kjent med risikoene for bedriften ved skylagring? Og hva er egentlig farlig?
Det er enklere for både barn og voksne å overholde regler og retningslinjer hvis man vet hvorfor ting er farlig…
Forbyr man bruk av skylagring bør det ovenfor de ansatte forklares hvorfor man ikke kan ta i bruk slike tjenester. Eventuelt hva skylagring kan benyttes til og hva de ikke kan benyttes til.
Momenter
• Geografisk plassering av data kan være et moment som de ansatte ikke er klar over. Geografisk plassering av data er viktig fordi det bestemmer hvilken jurisdiksjon dataene kommer inn under. Datatilsynet har sammen med Teknologirådet utgitt «Personvern – Tilstand og trender 2014». Her forklares dette slik; «en nordmann som lagrer på en tjeneste i USA kommer inn under amerikansk lovgiving som “the USA Patriot Act”. Dersom amerikanske myndigheter får tilgang til dataene gjennom denne loven, har ikke tjenestetilbyder lov til å fortelle nordmannen at dataene er blitt brukt på denne måten. Geografisk plassering er derfor viktig for å sikre dataene gjennom nasjonal lovgivning».
• Hva slags verdi informasjonen/data har for bedriften vil være utslagsgivende ved en verdivurdering/klassifisering. Dette vil også være veiledende for hva som kan/kan ikke lagres i en skytjeneste. De ansatte må få tilgang til og informasjon om dette arbeidet. Dette for å sikre at bedriftssensitiv informasjon ikke blir lagret i nettskyen uten tilstrekkelig sikkerhet.
• En risikovurdering er viktig når man tar i bruk nye verktøy og/eller teknologi. Bruk av nettskyen og sikring av bedriftssensitiv informasjon må være gjenstand i en risikovurdering. Hvorledes kan informasjonen beskyttes på best og mest effektiv måte, samtidig som den er tilgjengelig.
• Kryptering av data er kan være et middel for å sikre at data ikke kommer på avveier, samtidig som man får informasjonen tilgjengelig via skytjeneste. Uansett må en risikovurdering gjøres i forkant.