Datautstyr på arbeidsplassen


datautstyr

Alle virksomheter trenger klare regler og retningslinjer for sitt datautstyr. Følger virksomheten de anbefalingene vi gir i denne artikkelen, oppfyller de i det miste de mest grunnleggende forutsetningene for en effektiv og trygg datahverdag.

Siden begrepet «datautstyr» omfatter så mye, er det hensiktsmessig å dele anbefalingen opp i to grupper:

  1. Dataregler og -retningslinjer for virksomhetens datautstyr
  2. Dataregler og -retningslinjer for bruken av virksomhetens datautstyr

Det fysiske datautstyret

For det fysiske datautstyret til virksomheten gjelder følgende anbefalinger.

Steng alle åpne porter på datamaskinen

Hackere, ormer og virus kommer seg inn på datamaskinen ved at de finner en åpen port på maskinen som de klarer å bruke til å komme seg inn. Ønsker virksomheten å holde hackere, ormer o.l. unna virksomhetens systemer gjelder det dermed å stenge alle porter maskinene ikke bruker. Få en IT-kyndig til å sjekke hvilke porter datamaskinene på nettverket deres trenger åpne for å kunne koble seg på og kommunisere med alle nødvendig systemer. Steng deretter alle andre porter på alle maskiner til de ansatte og virksomheten for øvrig.

Personlig brannmur

Foruten en fysisk nettverks brannmur som står mellom LAN-nettverket og Internett linjen til virksomheten, bør alle datamaskiner som benyttes av ansatte i jobb og privatsammenheng ha en personlig brannmur installert. En personlig brannmur er et program som beskytter datamaskinen mot angrep fra Internett. Den kan ikke beskytte mot alle typer angrep, men er et av de grunnleggende og nødvendige sikringstiltakene.

httpv://www.youtube.com/watch?v=otaMLI-hrro

Personlig brannmur gir god beskyttelse mot kartlegging av maskinen, automatiserte angrep og ormer. De fleste personlige brannmurer inneholder ofte også ekstra funksjonalitet som kan øke beskyttelsen mot spam, virus, spyware, phising og andre former for uønskede hendelser. Hvor mye og hvor godt den beskytter mot slike trusler, varierer mye mellom de ulike variantene av personlige brannmurer.

Alle de vanlige operativsystemene har i dag brannmurfunksjonalitet inkludert. Linux inneholder iptables, Mac OS X har ipfw, og Windows XP har Windows-brannmur. Alle disse kan gi god beskyttelse mot ulike former for angrep. De inneholder ikke mye ekstrafunksjonalitet for ytterligere beskyttelse, men gir en god og nødvendig basisbeskyttelse.
Det finnes også mange personlige brannmurer som kan lastes ned gratis eller kjøpes. Felles for disse er at de tilbyr utvidet eller forbedret funksjonalitet enn de som følger standard med operativsystemet. For Linux og Mac OS X er det stor sett snakk om verktøy som gjør det enklere å administrere den innebygde brannmuren.

Anti-virus program

Foruten en personlig brannmur, trenger alle datamaskiner et anti-virus program som skal stoppe virus, trojanere, ormer og spyware. I tillegg har de fleste også innebygd et spam filter for å avdekke og stoppe spam. Det finnes her mange ulike programmer å velge mellom. Velg det programmet som støtter de plattformene IT-systemene til din virksomhet benytter. Sørg bare for at alle maskiner har et anti-virus program installert og at det alltid er aktivt og oppdatert. I dag har 1 av 4 datamaskiner ikke et anti-virus program. Selve forutsetningen for å kunne beskytte virksomhetens datasystemer mot datainnbrudd.

Standardisert programvare

For at de ansatte skal kunne utnytte de mulighetene som IKT byr på, kreves det at alle har tilgang til de programmene de trenger til å utføre jobben. Lag en liste over hvilke programmer de ulike maskinene trenger og sørg for at disse programmene blir installert på en forsvarlig måte.

En smart løsning er å lage et speil av denne blanke maskinen når den ferdig satt opp. Skulle maskinen gå tapt e.l. kan du kjøre tilbake speilet med alle programmene ferdig installert. På denne måten kan du restore en maskin raskt og enkelt.

Bruk av privat bærbar PC/PDA/mobiltelefon

Sett opp klare regler for bruk av privat utstyr i jobbsammenheng. Vurder seriøst om virksomheten bør utstyre de ansatte med bærbart datautstyr og mobiltelefoner som virksomheten selv eier. For virksomheten har eierskap til utstyret mange fordeler. Spesielt når vi tenker på sikkerhetproblematikken.

Velger virksomheten å ikke kjøpe utstyret de ansatte trenger og/eller ønsker seg, bør man tillate at de tar med seg dette utstyret (laptop, nettbrett og mobil) på jobben. 1 av 2 sier de vil vurdere å bytte jobb hvis de ikke får bruke sine private enheter på jobben i pauser o.l.

Lag istedenfor klare regler for bruk av privat utstyr på jobben og krev at IT-ansvarlig godkjenner enheten før den tilkobles første gangen til nettverket (f eks synkronisering mot Exchange).

Gi den enkelte ansatte ansvaret for å sikre at enheten til enhver tid er sikkerhetsmessig oppdatert (antivirus, OS oppdateringer, mv). Jeg godtar at KHiB har innsyn i mitt private utstyr dersom dette benyttes i virksomhetens tjeneste.

Bruk av datautstyr

For selve bruken av virksomhetens datautstyr og systemer gjelder følgende anbefalinger.

Passordregler

Den vanligste måten hackere får tak i sensitiv informasjon som gir dem tilgang til andres datasystemer er gjennom å tippe eller snappe opp brukerens brukernavn og passord.

For å sikre uvedkommende ikke får tilgang til virksomhetens datasystemer, maskiner og telefoner, er det påkrevd at det lages gode passordregler som nedfelles i Internett reglementet og som følges opp av en IT-ansvarlig som sørger for at dette skjer i praksis. Start med å lese vår artikkel om hvordan du lager et sikkert passord. Fell deretter ned disse passordreglene i virksomhetens Internett reglement for å sikre at alle har et forsvarlig passord på sine brukerprofiler.

Privat bruk av virksomhetens dataustyr

Privat bruk av virksomhetens datautstyr bør bare tillates i begrenset omfang. Bruk av virksomhetens datautstyr  i egen næringsvirksomhet bør for eksempel ikke være tillatt.

Sett regler for hva som skal lagres hvor

For å unngå at sensitiv informasjon kommer på avveie bør virksomheten sette opp klare regler for hva som kan lagres hvor.

Eksempler på sensitiv informasjon

  • Personopplysninger
  • Virksomhetskritisk informasjon
  • Informasjon unntatt offentligheten
  • Informasjon underlagt sikkerhetsloven eller beskyttelsesinstruksen

Generelt bør informasjon som ikke bør komme på avveie tillates lagret på bærbart datautstyr og mobiltelefoner. Tillates dette må disse filene og mappene passordbeskyttes og krypteres (se lengre ned).

All felles informasjon bør lagres på sentrale nettverksdisker i virksomheten eller virksomhetens nettsky, slik at alle har enkel tilgang på denne informasjonen. For å differensiere hvilken informasjon ulike brukere skal ha tilgang til, bør det settes opp en profil for hver enkelt bruker på nettverket som forteller hvilke rettigheter denne brukeren har. Dette gjøres i dag raskt og enkelt via operativsystemet til serveren eller datamaskinen som benyttes som fil- eller applikasjonsserver (se nettverk).

Data av privat art skal lagres lokalt på egen PC hvor det ikke tas backup. Virksomheten har ikke ansvar for disse dataene.

Oppdatering av programvare

Alle programmer og systemer har sikkerhetshull, og de første til å finne dem er hackerne. Senere kommer produsentene på banen med sikkerhetsoppdateringer når sikkerhetshullet er blitt kjent og rettet. Problemet er bare at mange unnlater å holde sine programmer oppdaterte, og da sikker man på et potensielt stort sikkerhetshull.

Operativsystemet, office-pakken, anti-virusprogrammet og andre programmer datamaskinen eller telefonen benytter krever jevnlig oppdatering. Normalt er dette svært enkelt å utføre. Vi anbefaler at alle maskiner settes opp til å oppdatere programvaren automatisk der det er mulig. Definer i IKT reglementet hvem som har ansvaret for dette. På systemnivå er dette normalt IT-ansvarlig sitt nivå, mens det på brukernivå ofte er brukeren selv som har ansvaret.

Har de ansatte selv ansvaret for å holde utstyret sitt oppdatert, bør noen lære dem opp hvordan de ulike programmene oppdateres, slik at man er sikker på at alle vet hvordan dette gjøres. En gang i blant bør det gjennomføres en sjekk av alle ansattes utstyr, såvel tilhørende virksomheten og privat utstyr som brukes i jobbsammenheng for å forsikre seg om at all programvare er oppgradert og tilstrekkelig sikret mot datainnbrudd og ondsinnede koder.

Nedlasting fra Internett

Nedlasting av ny programvare, musikk eller filmer fra ukjente leverandører og/eller nettsteder, bør ikke tillates uten godkjenning fra IT-sjef. Nedlasting av gratis programvare, musikk og filmer fra ukjente nettsteder eller fra fildelingsnettverk er en av de største sikkerhetstruslene for enhver bedrift. Ingenting er gratis. Selv ikke denne type innhold. Hackere legger ofte ved en trojaner, orm eller spyware sammen med filen/programmet som lastes ned. Så snart filen startes/åpnes smittes datamaskinen. Som regel klarer et godt anti-virus program å avdekke dette, men ikke alltid. De som utvikler disse skadelige kodene blir stadig smartere og prøver å ligge et hestehode foran utviklerne av anti-virus løsningene. For å være på den trygge siden, bør slik nedlastning tillates. At slike filer også ofte er ulovelig å laste ned, da de er piratkopier gjør ikke situasjonen bedre.

Innfør også et regelverk i virksomheten som forbyr ansatte å laste ned filer som kan være i strid med norske lover, eksempelvis åndsverksloven. Dette sikrer at virksomheten unngår negative presseomtale og erstatningskrav fra eierne av opphavsrettighetene hvis noen ansatte skulle laste ned ulovlig innhold og bli tatt for dette. Ikke bidra til piratkopiering. Forby all nedlastning og spredning av ulovlig innhold og filer.

Kopiering

Kopiering av lisensiert programvare er forbudt, med mindre virksomhetens avtale med leverandør uttrykkelig gir adgang til dette. Sørg for at dette blir nedfelt i IKT regelverket som gjelder for alle ansatte.

Lagringsmedier

Lagringsmedier (eksempelvis USB minnepenner, CD-plater, tape og lignende, samt papirdokumenter) som inneholder opplysninger som eies og/eller forvaltes av virksomheten må håndteres slik at dette ikke kommer på avveie. Ned fell dette i IKT regelverket, slik at man er sikker på at alle er inneforstått med dette.

Tillatt heller ikke at ansatte låner USB minnepenner, CD-plater, DVDèr eller lignende som kobles til virksomhetens datautstyr. Disse kan inneholde skadelige koder som smitter maskinen eller telefonen så snart enheten kobles til eller filen åpnes.  Av samme grunn bør det være forbudt for ansatte å låne ut USB minnebrikker til andre, selv om minnebrikken er tom for informasjon. Når den ansatte får minnebrikken tilbake, kan det ligge en usynlig fil igjen på den som smitter virksomhetens utstyr så snart minnepinnen stikkes inn i neste maskin.

Passordbeskytt sensitive filer og mapper

Krev at alle ansatte passordbeskytter sensitive filer og mapper med virksomhetskritisk informasjon, så er du bedre sikret på at de ikke kommer på avveie og kan åpnes av uvedkommende. Har virksomheten ingen passordbeskyttelse på sensitiv informasjon, kan selv ansatte med liten sikkerhetsklarering få tilgang til filene og mappene når de selv sitter på nettverket eller låner maskinen til en av sine kolleger med høyere sikkerhetsklarering.

Å sette et trygt passord på sensitive filer og mapper kan normalt gjøres raskt og enkelt, enten brukeren er på virksomhetens nettverk eller sitter på sin lokale datamaskin. Sørg for at de ansatte ikke benytter det samme passordet her som gjelder for for andre områder eller tjenester på samme maskin eller nettverj. Da faller hele hensikten bort. Meningen er at dette skal være en dobbel beskyttelse mot tyveri av sensitiv informasjon.

Krypter sensitive data

Se på muligheter for å kryptere virksomhetens sensitive data. Dette kan gjøres enkelt med forskjellig programvare. Mange av dem er i tillegg helt gratis.

Spesielt viktig er det at virksomheten krypterer data som sendes over et nettverk, og da spesielt et åpent nettverk. Det vil si over et offentlig nett. Krypter alltid alle virksomhetens backup og alle data som overføres via ftp eller på annen måte til ditt webhotell/område eller nettsky.

Hos CloudMe blir ikke dataoverføringen kryptert i det hele tatt, mens CrashPlan, TeamDrive og Wuala bruker sine egne, ukjente protokoller. Dropbox har ingen kryptering på klientsiden, slik at leverandøren har full adgang til alle data, og Mozy sender filnavn i ukryptert form.

Hvis du deler dine data med personer som selv ikke er medlem av tjenesten, er resultatet vanligvis en lang og tilfeldig URL-adresse. Forskerne har funnet flere feil i prosessen bak dette, slik at data står i fare for å bli delt med uvedkommende.

Forskerne anbefaler at du selv bør kryptere dine data med programmer somTrueCryptEncFS eller GnuPrivacyGuard før du laster dem opp i nettskyen.

Det finnes en mengde ulike krypteringstandarder. Høyest kryptering (beskyttelse) gir 256 kb kryptering som tidligere var forbeholdt det amerikanske forsvaret (Pentagon).

Kartlegging av systemsvakheter

Det bør være et forbud mot å at ansatte på eget initiativ kan prøve å kartlegge eller teste mulige svakheter i virksomhetens systemer og/eller nettverk, eller på annen måte drive «hacking» mot interne eller eksterne systemer. Dette for å unngå at enkelte ansatte skal finne på å prøve ut teknikker de har lest eller hørt om på virksomhetens systemer, eller bruke virksomhetens dataressurser til å angripe andre utenforstående nettverk.

Bruk av andres PC, nettbrett og mobiltelefon

Av sikkerhetsgrunner bør de ansatte helst ikke bruke andres datautstyr og mobiltelefoner i jobbsammenheng. Må dette gjøres, må det utarbeides retningslinjer som sikrer at det ikke blir lagt igjen sensitiv informasjon på datautstyret som lånes. Alt de ansatte gjør på andres maskiner etterlater spor.

Ved bruk av andres datamaskiner bør den ansatte derfor gjøre det til en god vane å fjerne alle sporene som er etterlatt.

Tiltak.
  • Slett filer som man har jobbet med
  • Lukk alle programmer
  • Slett alle private data fra nettleseren
  • Tøm papirkurven

 Inn og utlevering av datautstyr

All inn- og utlevering av datautstyr til ansatt må dokumenteres sikkelig, slik at virksomheten til enhver tid vet hvem som har hvilket utstyr, og hvilken informasjon som skal være på dette utstyret. Sørg for at serienummer, modell og merke blir skrevet opp, slik at det er lett å identifisere utstyret som leveres tilbake. Sørg for at den ansatte undertegner alt som blir levert ut og levert tilbake.

Sletting av data fra brukt datautstyr

1 av 3 datamaskiner kastes i dag på søppeldunga uten at sensitiv informasjon på harddisken slettes først. Dette er en enorm sikkerhetsrisiko, da dette datautstyret svært ofte blir solgt som brukt utstyr eller gjenbrukt på annen måte.

Sørg derfor for å lage gode rutiner for hva som skjer med brukt datautstyr, slik at virksomheten er sikker på at all informasjon på utstyret blir slettet før det blir kastet, gjenbrukt eller solgt til andre.

 Rapportering

Hvordan skal de ansatte gå frem hvis datautstyr blir stjålet eller de mistenker at passord eller sensitiv informasjon har kommet på avveie? Lag en klart regelverk for dette og ta det med i IKT reglementet og sørg for at alle blir gjort kjent med hvordan sikkerhetssvikt skal rapporteres.

NorSIS har laget et eksempel med tilhørende råd og tips for hvordan du skal gå frem for å skrive en anmeldelse på datainnbrudd eller databedrageri.

IKT HåndbokDenne artikkelen er en del av IKTnytt.no sin IKT-Håndbok for små- og mellomstore bedrifter som ønsker å lære hvordan de kan benytte moderne IT-teknologi til å forbedre sin lønnsomhet og konkurransekraft.

Gå til IKT-håndboken

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden – innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

– Kunnskapssenteret.com
– Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.

Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter – små og store – fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.

Fyll ut skjemaet under for å tipse oss om en nyhet.





Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift («emne»), med nærmere informasjon («melding»).

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 

Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: