Spiller russisk rulett på jobben
Personlige skytjenester som Dropbox, Google Docs og Skype har opplevd en enorm suksess de siste årene. Nå har de også funnet veien i norske bedrifter og offentlige virksomheter. I en rykende fersk undersøkelse blant 300 norske virksomheter som analysebyrået Norstat utførte på vegne av Datametrix, sier hele 53 prosent av virksomhetene at de tillater at de ansatte bruker disse eller lignende personlige skytjenester i jobbsammenheng.
– Jeg er overrasket over antallet virksomheter som tillater dette, særlig også at 40 prosent av offentlig sektor tillater det. Det er spesielt foruroligende, sier Kalleberg.
Med andre ord: Sensitive data lagres på tjenester som ikke er ment for å lagre denne type data, og som også har historikk når det gjelder hacking. Risikoen for at data kommer på avveie er stor. I tillegg lagres dataene i utlandet, og det er komplisert å vite hvilke lover og regler som da gjelder for tilgang og eierskap til dataene.
– Norske virksomheter må gå i seg selv og rydde opp. En ting er at nordmenn legger private data i skyen, noe ganske annet er det å legge bedriftens eller kommunens data ut på disse tjenestene, sier Kalleberg.
Bevisst risikoen
Kallebergs poeng er at virksomhetene – eventuelt før de tillater slik bruk – har en forståelse for hva det innebærer og har vurdert risikoen og iverksatt nødvendige tiltak.
– Jeg tror imidlertid virkeligheten er at det er et resultat av at brukerne allerede har tatt i bruk tjenestene uten at virksomhetene har virkemidler til å stoppe eller begrense bruken, sier han.
Kalleberg tror én årsak til at bruken av disse tjenestene vokser også i jobbsammenheng, er at de enkle å ta i bruk, og virksomhetene ikke har gode nok og enkle nok alternativer for mobilitet – enten det gjelder tilgang til informasjon, dokumentdeling eller videomøter.
Slik sikrer du deg
Virksomheter bør ikke tillate bruk av personlige skytjenester i jobbsammenheng. Men velger man å gjøre det, så kan man ta grep for å redusere risikoen.
Her er Datametrix´ tre sikkerhetsråd:
Lag en policy som definerer hva som er sensitiv informasjon, og blokkér muligheten for at dokumenter som inneholder sensitive data kan sendes ut av nettet. Innfør kontroll-mekanismer som applikasjonskontroll, DLP og SSL-inspeksjon. Dette vil kontrollere hva slags informasjon som blir lastet opp av de ansatte. Ha oversikt over hvilken type informasjon man har, hvor den ligger og hvor den flyttes
– Det beste er å investere i tilsvarende profesjonelle skyløsninger, men har man først tillatt bruk av personlig skyløsninger er disse rådene en måte å få bedre kontroll med det på, sier Kalleberg.
