Hvis den anklagede dømmes, er der tale om en kriminel medarbejder (IBM) og kriminel ekstern konsulent (Nets). Kan man undgå det? Typiske forebyggende forholdsregler er baggrundscheck, ren straffeattest, måske en sikkerhedsgodkendelse m.m. Jeg tror ikke disse redskaber havde kunnet afværge den aktuelle datalækage. Og hvis man indfører for meget af den slags tiltag, laver man en formentlig unødvendig og måske skadelig mistænkeliggørelse af personer, man hellere skal have et godt arbejdsforhold til.
Men der er andre for sagen aktuelle områder, hvor jeg vurderer at flere - måske mange (?) - virksomheder bør overveje om de gør tilstrækkeligt:
- Brugerstyring: Tildeler vi for mange rettigheder til medarbejdere og konsulenter i forhold til hvad der er nødvendigt? Rydder vi op efter os når nogle skifter job internt eller forlader os? Især vigtigt i forbindelse med it-folk, der får privilegeret adgang.
- Logning: Kan vi med rimelig sandsynlighed opdage hvis en betroet medarbejder misbruger sin adgang? Logning og overvågning skal doseres rigtigt efter behov. Behov er oftere til stede, når der er tale om privilegeret adgang.
- Reaktion på revisionsrapporter: Hvis der påpeges svagheder eller det der er værre, reagerer vi så på det? Har vi en proces, der sikrer opfølgning?
- Reaktion på sikkerhedshændelser: Hvis der sker noget eller kunder gør os opmærksomme på et problem, reagerer vi så på det? Og igen: Har vi en proces, der sikrer opfølgning?
Om ovenstående generelle vurderinger også holder hos jer kommer selvfølgelig an på hvem "I" er - det kræver en mere individuel vurdering. Har jeg glemt nogle tiltag I kan kigge på?
Min kollega Gaffri Johnson er gået mere i dybden med emnet i dette indlæg.
Ingen kommentarer:
Send en kommentar