Hvordan kan du overvåke dine ansatte?
Ivar Aasgaard er seniorkonsulent i Secode. På konferansen Sikkerhet og sårbarhet belyser han metoder og verktøy for overvåkning, sikkerhetsmål og -strategi, og policy og instruks for ansatte.
- En virksomhet må gi medarbeiderne informasjon om reglene som gjelder internt. Det får de best i form av retningslinjer eller sikkerhetsinstruks, eventuelt en rutine for informasjonsbehandling, som de ansatte signerer. Det er viktig at arbeidsgiver og organisasjoner har et bevisst forhold til problemstillingene og er proaktive for å få til gode instrukser og rutiner.
- Med tanke på mulige tilfeller av mistanke, bør man også gjøre avtaler med eventuelle organisasjoner om hvorvidt brukeren og eller tillitsvalgt skal være tilstede når man foretar innsyn i epost, og hvilke kriterier som skal gjelde for innsyn. Datatilsynet ønsker for øvrig skille mellom privat og virksomhetsorientert e-post.
- De ansatte på sin side bør holde seg informert om retningslinjer, og følge dem. Fordi teknologi og anvendelser utvikler seg raskt, er det ikke mulig å ha et vanntett regelverk, men de fleste virksomheter har et stort potensial for å gjøre det bedre i dag.
- Stadig hyppigere presseomtale om sikkerhet og personvern gjør situasjonen bedre. Det vil komme opp saker med grensetilfeller, hvor Datatilsynet må gi klarere retningslinjer enn det som finnes i dag.
Hva er slettet?
- Blant annet må de avklare hva man mener med sletting. Man må adressere en rekke problemstillinger, om hvordan man sletter og hva som kan karakteriseres som slettet. Vil det komme krav til fysisk overskrivning av filer og meldinger som en bruker tror han har slettet? Skal de da også slettes fra backup? Spørsmålene er mange.
En del av dem blir sikkert besvart på Sikkerhet og sårbarhet, som finner sted i Trondheim 9. og 10. mai.
