Dokumentsikkerhed: En truende forretning - hvordan dokumentsikkerhed kan sikre fortrolighed

Adam Gilbe, Document Solutions Manager, Canon Europa, ser på et ofte overset emne, nemlig firmafortrolighed i form af dokumentsikkerhed i europæiske virksomheder. I artiklen refereres der til undersøgelser, som er udført af ICM på vegne af Canon Europa, af brud på firmafortrolighed blandt europæiske virksomheder.

Hvor sikker er en gennemsnitlig europæisk virksomhed? Vi kan jo starte med at sikre fysiske aktiver. Næsten alle virksomheder har tyverialarm, dørkoder, brandalarm og forsikring. Det er lige så vigtigt at sikre virksomhedernes intellektuelle aktiver, hvoraf mange er i dokumentform, f.eks. kontrakter, finansielle projekteringer, strategidokumenter og lønoplysninger. Hvis disse falder i de forkerte hænder, kan de på flere måder have en negativ indvirkning på virksomheden og i sidste ende føre til økonomiske tab.

Klientdokumenter med sensitiv information, som lækkes til pressen, kan skade virksomhedens omdømme og føre til tabte forretningsmuligheder for den virksomhed, som formodes at have lækket informationen – for slet ikke at tale om, at klienten kan vælge at lægge sag an. I sådanne sager er forebyggelse bedre end helbredelse, for når først medarbejdere har læst firmafortrolig information, har man ikke nogen reel mulighed for at monitorere dem eller forhindre dem i at diskutere sagen uden for arbejdspladsen. Næsten halvdelen af alle lønmodtagere i Europa erkender dette. I denne artikel undersøger vi, hvor sårbare virksomhederne er over for angreb på dokumentsikkerheden, og hvordan dette problem kan håndteres.

Mange virksomheder beskytter firmafortrolig information ved at sikre deres it-systemer mod eksterne trusler som virus, hackere og phishing (falske websteder, hvor folk lokkes til at afgive fortrolig information). Men dette sikrer dem ikke mod interne brud på dokumentsikkerheden. Intern kompromittering af dokumentsikkerheden starter med, at ledelsen ikke er opmærksom på trusler mod dokumentsikkerheden. Gennemsnitligt 18 % af alle virksomheder over hele Europa mente, at brud på firmafortrolighed eller "medarbejderbedrageri" var et problem. 28 % mente, det var et lille problem, men når vi så hører, at fire ud af 10 ansatte har set sensitiv firmadokumentation og over en tredjedel ser det på daglig eller månedlig basis, er der grund til at rykke dette spørgsmål højere op på topledelsens dagsorden. Når dette tal sammenholdes med det faktum, at 82 % af alle ledere i europæiske virksomheder mener, at ”tillid” til at de ansatte ikke afslører fortrolig firmainformation er den bedste form for forebyggelse, kan vi se, at problemet er alarmerende.

Dokumentsikkerhed kan ikke alene hvile på tillid, idet tillid ikke giver medarbejderne klare retningslinjer for, hvad der udgør et brud på firmafortrolighed. Hvis medarbejderne ikke forstår, hvad der forventes af dem, kan de uforvarende komme til at begå et brud på firmafortroligheden. Uanset om bruddet er bevidst eller ej, så forekommer det. 38 % af medarbejderne indrømmede, at de enten selv havde set sensitiv information eller havde kendskab til, at en kollega havde set sensitiv information.

64 % af virksomhederne i Europa inkluderer en firmatrolighedspolitik i medarbejderkontrakterne, men det er ikke nok til at forhindre medarbejderne i åbent at diskutere fortrolig information, da disse politikker ofte ikke forklares over for medarbejderne (og i endnu mindre grad over for vikarer) for at sikre, at de forstår dem.

Mange virksomheder gør brug af vikarpersonale, hvilket også bør tages i betragtning hvad angår sikring af firmafortrolighed, idet mindre end en fjerdedel af virksomhederne i Europa angiver, at de ”altid” udfører sikkerhedstjek af vikarpersonale. Vikarer kommer ofte ind i virksomheden med kort varsel, uden kontrakt og/eller introduktion til firmaet. De kan måske få adgang til fortrolige dokumenter på virksomhedens it-netværk eller printer eller støde på fortrolige dokumenter, som ligger fremme på kontorerne. Andelen af vikarer, som har adgang til virksomhedernes printere, varierer fra 46 % i Storbritannien til bare 20 % i Østrig.

Det første skridt til sikring af virksomhedens intellektuelle aktiver består i at have en juridisk godkendt fortrolighedspolitik, som håndhæves og forklares over for alle medarbejdere for hurtigt at minimere muligheden for og fristelsen til at bryde virksomhedens regler om informationssikkerhed.

Det næste skridt til sikring af virksomheden over for interne og eksterne trusler mod dokumentsikkerheden er effektiv implementering af it- og printersikkerhed. Næsten alle virksomheder bruger password-beskyttet adgang til de enkelte medarbejderes pc’er og til firmaets netværk, nogle implementer også password-kontrol eller individuelle adgangsrettigheder til fælles netværk, individuelle drev, filer og dokumenter. Men beskyttelse af en virksomheds pc’er er kun en halv løsning, hvis adgangen til printerne ikke beskyttes (og det undlader mange virksomheder). Denne essentielle kontormaskine glemmes ofte, når det drejer sig om dokumentsikkerhed, men den bør prioriteres højt sikkerhedsmæssigt og beskyttes lige så effektivt som en pc.

Printeren er det sted, hvor over en tredjedel af de ansatte har set firmafortrolig information. Det drejer sig om løn- og personoplysninger samt finans-, strategi- og budgetplaner, som 88 % af de ansatte har set. Desuden mener 21 % af medarbejderne, at det er acceptabelt at læse information, som er efterladt på en fælles printer eller kopimaskine, og 38 % af medarbejderne har enten selv set information liggende på printere eller kopimaskiner eller arbejder sammen med nogen, der har.

En firmaprinter kan sikres på mange måder. Password-beskyttelse eller udstedelse af personale-magnetkort til virksomhedens printere er en omkostningsbesparende metode til at kontrollere, hvem der printer hvad og hvornår. Virksomhederne skal naturligvis sørge for at disse passwords ikke ligger frit fremme. Der findes også biometrisk teknologi på markedet, som virksomhederne er begyndt at bruge, især i den finansielle sektor, hvor dokumentsikkerhed er yderst vigtig. Biometriske kontroller som identifikation af fingeraftryk og nethinde-scanning kan også bruges til at gøre adgangen til multifunktionsprintere sikker.

Ud over password-kontrol findes der softwareløsninger, som kan hjælpe med at kontrollere printning af dokumenter på multifunktionsprintere (MFP). Softwaren kan installeres på virksomhedens server og giver mulighed for at se, hvornår et hvilket som helst dokument på eller uden for kontoret er blevet set, ændret, flyttet eller distribueret – som print, scan eller telefax – og af hvem. Nogle løsninger understøtter også Triple Data Encryption Standard (DES), som beskytter dokumenter mod uautoriseret adgang både i og uden for en organisation. En yderligere fordel er, at det efterlader klare spor for dokumenter på et firmanetværk, idet der tilføjes en digital signatur, hver gang et dokument arkiveres.

Softwareløsninger kan også hjælpe virksomheden med at tildele autorisation til elektroniske dokumenter med henblik på at sikre fortrolighed, personlige oplysninger og dokumentansvar. Der kan f.eks. tildeles forskellige dokumentrettigheder og kryptering for varierende grader af adgang til dokumenter som PDF'er. Ejerne af dokumenterne kan administrere disse tilladelser for at forhindre uautoriseret adgang og ændring ved at sætte restriktioner for, hvem der kan åbne, redigere, printe og kopiere indholdet af individuelle dokumenter. Adgangsrettigheder til at printe på en MFP kan ganske enkelt defineres ud fra, hvem der har brug for adgang og på hvilket niveau. F.eks. kan en medarbejder – en leder – have adgang til at læse et dokument, mens en anden, såsom virksomhedens topchef, også kan printe dokumentet.

Uanset hvilke metoder, der implementeres til sikring af sensitive dokumenter, skal adgangsrestriktion af print ledsages af ansvarlig dokumenthåndtering. For selv om dokumenter åbnes og printes af den korrekte person, kan de blive liggende i printeren et stykke tid, hvor den forkerte person så kan få adgang til dem. Der kan indføres en ”rent skrivebord”-politik på arbejdspladsen, som sikrer at alle virksomhedens dokumenter opbevares ude af syne, indtil de skal bruges af den rigtige person, specielt ved arbejdstids ophør.

Disse enkle skridt er ikke 100 % fejlsikre, men de kan gøre en kæmpe forskel for sikringen af din virksomheds intellektuelle ejendom, og de udgør en langt mere effektiv metode end at lade dokumentsikkerhed hvile på tillid. En klar og håndhævet fortrolighedspolitik kan sikre, at der sættes en standard for, hvad der er acceptabelt. Der kan sættes adgangsrestriktioner for en multifunktionsprinter (på samme måde som de også bør sættes for virksomhedens netværk) for at forebygge tilfældigt posekiggeri. Adgangsbegrænsning til kontorets multifunktionsprintere og kontrol af dokumentaktivitet ved hjælp af softwareløsninger, som installeres på printeren, kan forhindre, at sensitiv firmainformation – virksomhedens intellektuelle ejendom – falder i de forkerte hænder.