AD: Ikke glem sikkerheten i siste ledd


Norske virksomheter driver en farlig lek med sine verdier hvis de ikke kan dokumentere at innholdet på brukt it-utstyr og mobiltelefoner er sikkert slettet. Undersøkelser viser at det er enorme sikkerhetssvin på skogen og kun et fåtall av utstyr som blir byttet ut blir slettet på en sikker måte. Spørsmålet er hva som skjer med det andre? Tilbakemeldinger tyder på at det gis bort til veldedige formål, støver ned, kastes, eller går til arbeidstageres barn – eller, kanskje enda verre, at det forgjeves er forsøkt slettet på en måte som muliggjør gjenoppretting av informasjon man trodde var borte for godt.

I likhet med andre aspekter ved informasjonssikkerhet må også sisteleddssikkerhet forankres høyt oppe i organisasjonen. Ideer, innovasjoner, markedsplaner, kundelister og regnskapsdata som er virksomhetens «arvesølv»: hvordan vet du som leder at dette er beskyttet? Virksomheten har ansvar for å sikre informasjonen under hele dens livsløp. Det begrenser seg ikke til styring av brukeraksess og brannmurer, men også at en sørger for å få informasjon fjernet for godt når utstyret skal byttes ut/skifte eier. Stikkprøver på utstyr fra åpne kilder, som f.eks. kjøp av brukt utstyr på nettsteder, viser graverende funn av mye som burde vært slettet; som styredokumenter, kundeinformasjon, kredittkortopplysninger, og mye annet som er snadder for vinningskriminelle.

Med ny og skjerpet Personvernforordning på trappene pådras virksomheten også en potensiell stor, økonomisk risiko hvis det ikke er etablert en sikker prosess for avhending. Brudd på reglene kan gi betydelige bøter – selv flere år etter at PC-en er borte og glemt. Data på avveie kan ha uante konsekvenser, i tillegg til brudd på lovverket, med påfølgende reaksjoner, kan det medføre tapt konkurransekraft og immaterielle tap, som f.eks. svekket omdømme – bare for å nevne noen eksempler som har sørget for at bedrifter har havnet i skifteretten.

Gode rutiner snur risiko til mulighet

Å investere tid i å skaffe seg en oversikt over informasjonsaktivaene og få på plass en prosess for avhending gir ikke bare en avkastning i form av god informasjonssikring. Når PC-er og alt annet av elektronisk utstyr som inneholder en form for lagring gjennomgår en sikker sletting med anerkjente verktøy og metoder oppnår en flere fordeler:

  1. Virksomheten fjerner risiko og det blir enklere å etterleve stadig strengere krav og regler
  2. Sensitiv informasjon kommer ikke på avveie, virksomheten unngår både dirkete økonomiske tap og immaterielle konsekvenser, som tap av omdømme.
  3. Sikker sletting gjennomføres med verktøy som eliminerer mulighet for gjenoppretting av data. Slike verktøy produserer revisjonsspor i form av detaljerte rapporter som bekrefter sikker sletting og sørger for at kunden kan «sjekke ut» hver eneste enhet fra sine styringssystemer.
  4. Sisteleddssikkerhet er sirkulær økonomi i praksis. Det grønne skiftet og bærekraft preger samfunnet. Gjenbruk av it-utstyr er et vesentlig bidrag i denne sammenhengen:

Realisering av restverdi og miljøgevinst.

Etter utført sikker sletting representerer utstyret fremdeles en betydelig restverdi. Med relativt enkle grep kan utstyr som måtte ha utilstrekkelig ytelse oppgraderes for gjenbruk for å optimalisere for et annenhåndsmarked – til glede for din virksomhet, som ikke bare sørger for sikkerhet ved at informasjon ikke kommer på avveie, men også fordi virksomheten tjener penger på sitt brukte utstyr.

Er enhetene i en slik forfatning at det ikke lenger er hensiktsmessig med gjenbruk, kan du allikevel sørge for en miljømessig korrekt gjenvinning, enten på komponent- eller materialnivå ved å ha etablert en prosess for dette. Materialgjenvinningsgraden på en PC er på over 95%(!) og dermed har din virksomhet, gjennom sitt fokus på sikker sletting, også bidratt til den sirkulære økonomien.

Det glemte sikkerhetshullet

Hvis handling utelukkende er drevet av å skulle unnslippe bøter vil vi aldri oppnå det som er det egentlige målet: å kollektivt bidra til en god sikkerhetskultur gjennom gode holdninger, tilstrekkelig kunnskap og risikobevissthet. Gode rutiner for behandling av informasjon under hele livsløpet tar en et godt stykke på vei mot dette målet. Sisteleddsikkerhet er historien om det ofte glemte sikkerhetshullet, men som med enkle grep og riktig holdning kan «tettes» – ikke bare for sikkerhetens skyld, men også for å realisere økonomisk gevinst på utstyr som avhendes og sørge for at virksomheten tar et ansvar for miljøet og den sirkulære økonomien.

 

Gjesteartikkel er skrevet av Lene Zachariassen, sikkerhetssjef i AD.

Les mer om AD.