Tidligere ansatte er en voksende trussel mod informationssikkerheden
Ny global undersøgelse fra Ernst & Young Ernst & Young, København, den 26. november 2009
Hævnaktioner fra tidligere ansatte vækker bekymring hos it-chefer verden over. Udgifter i kroner og ører som følge af sabotage eller lækage af informationer er ofte det mindste problem. Tab af image er lige så ødelæggende, siger Lone Haudrum og Martin H. Nielsen fra Ernst & Young's AdvisoryServices, der begge har speciale i risikohåndtering.
I Ernst & Young-undersøgelsen Global Information Security Survey er it-chefer i 1.900 virksomheder i flere end 60 lande blevet spurgt om, hvordan de opfatter informationssikkerhed i kølvandet på finanskrisen.
Et af de mest opsigtsvækkende resultater af undersøgelsen er, at 75 % af virksomhederne siger, at de bekymret for repressalier fra tidligere ansatte, som har sluttet deres ansættelse i virksomheden. 42 % af de adspurgte i undersøgelsen anfører, at de arbejder med at kortlægge sikkerhedsrisici, der opstår når medarbejdere fratræder, mens 26 % allerede har iværksat tiltag. 41 % af virksomhederne siger, at de har oplevet en forøgelse af eksterne angreb mod netværk og internetsider i løbet af krisen, og 25 % har oplevet en forøgelse af interne angreb, som eks. misbrug af rettigheder eller information.
– Med den lavkonjunktur og det antal afskedigelser, som finanskrisen har bragt med sig, kan vi konstatere, at en del virksomheder nu frygter deciderede hævnaktioner fra tidligere ansatte. Her er it-systemerne udsatte, og det er derfor vigtigt at få identificeret virksomhedens vigtigste informationsaktiver for at kunne identificere de rigtige sikkerhedstiltag. Danmark er nu kraftigt påvirket af den økonomiske krise, og visse sektorer er endog meget hårdt ramt. Derfor tror vi også, at Danmark vil være et af de lande, hvor vi vil se, at tidligere ansatte, og særligt de der ikke har fået en god afsked med deres virksomhed, vil gå til respressalier, siger partner Lone Haudrum, som er leder af funktionen for risikohåndtering i Ernst & Young's Advisory Services.
– Ofte er det meget enkle tiltag, som kan øge informationssikkerheden. Det kan være så enkelt som at forbedre kommunikationsrutinerne mellem HR og it-afdelingen og fjerne medarbejderens adgangsrettigheder umiddelbart efter, at en ansættelse er afsluttet, siger executicve director Martin H. Nielsen i Ernst & Young's Advisory Services.
Krypterer ikke de bærbare
40 % af it-cheferne fremhæver i undersøgelsen, at beskyttelse mod informationslækage er den vigtigste opgave, der er knyttet til informationssikkerhed de kommende12 måneder.
Et overraskende resultat af undersøgelsen er, at kun 41 % af virksomhederne i dag krypterer deres ansattes bærbare computere. 17 % anfører, at de planlægger at indføre kryptering i løbet af det kommende år.
– Det er overraskende, at seks ud af ti virksomheder ikke har kryptering på deres bærbare pc-er. Teknologien er let tilgængelig og rimelig enkel at implementere. Sensitiv og skadelig information kan komme uvedkommende i hænde, når usikrede bærbare computere og telefoner mistes eller stjæles, siger Martin H. Nielsen.
– Når mange danskere arbejder ekstra hjemmefra hver uge, er det urovækkende, hvis de værktøjer, de arbejder med, ikke er tilstrækkeligt beskyttede. Vi får stadig mere fleksibilitet i vores arbejde og med flere og bedre mobile kommunikationsværktøjer, men man skal være opmærksom på, at informationslækagerne også kan blive større, siger Lone Haudrum.
Mangel på ressourcer
Undersøgelsen viser også, at kun 32 % af virksomhederne har overblik over deres interne registreringer af information, som er omfattet af lovgivning om behandling af personoplysninger. Når it-cheferne får spørgsmålet, hvad de oplever som barrierer for at få hævet niveauet på informationssikkerheden, anfører 56 %, at det er mangel på ressourcer.
– Reducerede budgetter tvinger virksomhederne til at være mere selektive, når det gælder omkostninger knyttet til sikkerhed. Det bliver derfor vigtigt fremover at gennemgå virksomheden, for at danne sig et overblik over værdifuld information, og ikke mindst hvordan man sikrer sig, at informationerne ikke falder i de forkerte hænder, siger Martin H. Nielsen.
– Det er også vigtigt at huske på at god informationssikkerhed ikke bare er knyttet til sikring af virksomhedens it-systemer. Informationssikkerhed handler lige så meget om papirudskrifter, vi kaster i papirkurvene, hvordan man håndterer udskiftede harddiske fra computerne og sikring af loyalitet. Det handler om, at hele organisationen er bevidst om risici og har en fælles måde at håndtere den på, siger Lone Haudrum, som tilføjer, at det er en proces, der kan tage tid.
