Skylagring- et bevisst valg?


Norske virksomheter lar de ansatte få lagre i skyen.

Aftenposten viser til en undersøkelse Datametrix har utført, hvor over halvparten av norske virksomheter tillater sine ansatte å bruke personlige skytjenester som Skype, Dropbox og Google Docs i jobbsammenheng.

Mørketallsundersøkelsen 2014 viser samme tendens. Denne undersøkelsen viser at en av tre virksomheter benytter seg av gratistjenester som Gmail og Dropbox.  Én av fem vet ikke hvor dataene blir lagret, og mer enn halvparten vet ikke om offentlige myndigheter har tilsynsrett.

Dette er i utgangspunktet ikke overraskende tall, all den tid skytjenester er både praktiske og tidsbesparende, og ofte gratis i bruk eller har en lav kostnad. Det er imidlertid flere risikofaktorer knyttet til bruk av slike tjenester.

Hva som skal lagres av informasjon og hvor det skal lagres må være bevisste valg. Sensitive opplysninger som lagres i skyen uten at man har vurdert risiko for at disse havner på avveie, samt hvorvidt man overholder lovkrav til lagring, bør ikke baseres på tilfeldigheter og hva de ansatte ønsker å benytte. Enhver virksomhet bør ha et bevisst forhold til bruk av skytjenester. Det bør være retningslinjer for de ansatte, slik at de er klar over hvilke regler som gjelder og hva som kan benyttes.

Datatilsynet har utgitt en veileder for de som vil lagre virksomhetsinformasjon i skyen. Databehandleravtale er viktig å etablere.

Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er bedriften som har ansvar for at lovens krav følges. Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon på vegne av bedriften og sikrer at databehandleravtalen følges. Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.

NorSIS anbefaler:

  • Gjennomfør risikovurdering før man tar i bruk nye tjenester
  • Ha forskjellige passord på forskjellige tjenester. Benytt totrinns-verifisering der det er mulig
  • Husk sikkerhetskopiering
  • Kontroller hvilke kriterier som gjelder for valgt leverandør og tjeneste, også for gratistjenester
  •  Sensitive opplysninger må krypteres, uavhengig av lagringsmedium

 Les mer:

Aftenposten

Mørketallsundersøkelsen 2014

Datatilsynet

 

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.