Tett sikkerhetshullene på mobile lagringsmedier!

Å bruke en liten usb-plugg, et Compact Flash (CF)-kort eller en Memory Stick er virkelig inspirerende. Det er slutt på de dager du måtte drasse med deg din bærbare på alle reiser og møter utenfor kontoret. Nå er det bare å feste usb-pluggen på nøkkelringen og ta med deg alle de dokumentene du måtte ønske i lommen.

Lagringsenhetene er fantastiske eksempler på 8gadgets8 som er både praktiske og morsomme i arbeidsdagen. Stadig flere bruker dem i arbeidet for å lagre dokumenter, databaser og grafikk så vel som musikk, film og video. Men sikkerhetsimplikasjonene og risikoen forbundet med dette er betydelige og bør tas på alvor.

Det hjelper lite om kontoret er 8sikkert som banken8 hvis alle 8bankboksene8 bæres ut og inn etter de ansattes forgodtbefinnende ) ulåst og uten kontroll og sikkerhetsrutiner. Jeg assosierer en bank jeg neppe vil opprette konto i.

Hva skjer for eksempel hvis en ansatt mister et nøkkelknippe med en usb-plugg der det er lagret sensitiv bedriftsinformasjon ubeskyttet?

Du er heldig hvis den blir funnet av en forbipasserende som kikker på innholdet og finner det uinteressant. For hva skjer hvis informasjonen kommer en kriminell, en konkurrent eller en journalist i hende? Alt innhold lagret fra din pc kunne havne i uønskedes hender eller i offentlighetens søkelys. Du vil kunne oppleve å bli utpresset av en opportunist som truer med å eksponere det han har funnet om deg, selskapet, ansatte eller kunder. Like ille vil det kanskje være å oppleve at bankkontoen din er tømt eller at identiteten din er stjålet.

Disse scenariene er både realistiske og potensielt ødeleggende.

Hvis du som it-ansvarlig ikke har oversikt over hvem i organisasjonen som bruker mobile lagringsenheter har du neppe heller noen ide om hvem som laster ned intellektuell kapital og sensitiv bedriftsinformasjon på dem. Du vet ikke hvor dette tas med og kanskje ikke hvilken risiko den eksponeres for.

nn Den mulige skaden selskapet påføres ved tap av informasjon er ikke bare av finansiell eller driftsmessig karakter. Du bør også vurdere mulige juridiske følger. Hvis informasjon om dine kunder kommer på avveie, vil selskapet kunne oppleve å få et alvorlig søksmål mot seg samtidig som dets omdømme blir skadelidende.

Uansett nytteverdi kan altså de mobile lagringsenhetene utgjøre en stor sikkerhetsrisiko for en hver organisasjon. Her er noen tips for å balansere forholdet mellom fordeler og risiko:

Sikkerhets-policy: Mobile lagringsenheter er ikke leketøy. Bestem hvordan dere som selskap vil administrere dem. Forbud mot slike enheter løser ikke problemet; inkluder mobile lagringsenheter i den generelle sikkerhets-policyen og sørg for at alle ansatte leser og signerer denne. Forklar også hvilke skritt som vil tas hvis policyen ignoreres.

Opplæring: Informer de ansatte om sikkerhetsimplikasjonene, og forklar hvorfor visse sikkerhetsrutiner er innført. Ellers blir de trolig ignorert.

Kryptering: Vurder å innføre en krypteringsløsning for mobile data som kan administreres sentralt fra IT-avdelingen. De beste produktene er raske og umerkelige for brukeren. Løsningene krypterer automatisk all lagret informasjon på enhetene. Kun brukere med korrekt passord får tilgang.

Kontroll: Implementer løsninger for kontroll av nøyaktig hvilke enheter som kan kobles til et system samt hvilke filer som kan og ikke kan kjøres.

Regelmessig kartlegging: Gå regelmessig gjennom hvem som bruker mobile lagringsmedia og registrer det.

I dagens komplekse, digitale hverdag er det umulig å garantere fullstendig sikkerhet. Men disse enkle skrittene kan hjelpe deg å minimalisere risikoen og vise at du har tatt alle mulige skritt for beskytte informasjonen på mobile lagringsmedier.

Dette bør gi deg bedre nattesøvn i visshet om at selskapet neppe er det neste i rekken som vil oppleve søksmål eller offentlig ydmykelse i tabloidpressen som følge av at verdifull informasjon er på avveie.

Frank Horntvedt,administrerende direktør i Pointsec Norway AS