Til medarbejdere

Når mange af os nu er ved at have mulighed for at komme fysisk tilbage til vores arbejdsplads, er der nogle forhold om informationssikkerhed, vi bør tænke over. Vi har måske haft behov for at anvende anderledes og måske mere usikre arbejdsrutiner for at kunne udføre det arbejde, der var nødvendigt. Nu handler det om, at komme tilbage til de (bedre) sikkerhedsrutiner, vi havde før Corona-sundhedskrisen sendte os hjem.

Virksomheden bør forinden have truffet beslutning omkring informationssikkerheden og tilbagevenden, og nogle af de skridt, vi som medarbejdere skal tage, bør ske i samarbejde med vores kolleger fra it-afdelingen eller vores it-driftsleverandør. Hvis virksomheden ikke har meldt forholdsregler om informationssikkerhed ud, er der her alment gyldige råd, man som medarbejder kan følge. Det er under alle omstændigheder en god ide at sikre sig, at man overholder virksomhedens it-sikkerhedspolitik.

• Husk corona-foranstaltningerne. Spørg it-supporten om, hvordan it-udstyret, der har været med hjemme, kan rengøres.
• Hvis man deler it-udstyr med kolleger, bør der være mulighed for – jf. Sundhedsstyrelsens generelle retningslinjer – at desinficere det ved hvert brugerskifte.
• Husk at overføre alle arbejdsrelaterede filer du har gemt lokalt til f.eks. fællesdrev, hvorfra der fortages backup.
• Journalisér alt det, der er relevant, men som ikke er blevet journaliseret under hjemmearbejdet.
• Sørg for at fjerne alle personhenførbare data eller andre sensitive data fra det it-udstyr, du har anvendt. Det kan have været relevant i hjemmearbejdsperioden at gemme data midlertidigt på it-udstyr, hvor det normalt ikke gemmes. Spørg din it-support om hvordan det gøres på en sikker måde. Det er ikke altid nok at trykke på slet-knappen.
• Husk at aflevere det ekstra it-udstyr, der har været lånt under hjemmearbejde. Vær opmærksom på om der ligger private informationer på udstyret, og slet dem hvis der gør. Det kan f.eks. være brugernavne og passwords, der er gemt i browserne.
• Afinstallér de programmer på udstyret, som arbejdspladsen ikke normalt har godkendt brugen af, og som der har været behov for at installere i hjemmearbejdsperioden.

Til de it-ansvarlige

Når it-afdelingen og medarbejderne i organisationen gradvist begynder at komme fysisk tilbage til deres vante rammer, er der nogle aspekter i forhold til informationssikkerhed, som I som it- og/eller sikkerhedsansvarlig børhave særlig fokus på. Det er uafhængigt af om it-drift varetages af en it-driftsleverandør eller af jer selv. Vigtigst er, at I og virksomhedens ledelse har forberedt og kommunikeret klart ud, hvad der forventes af medarbejderne it-sikkerhedsmæssigt ved tilbagekomst.

• Gennemgå virksomhedens it-risikovurdering, og sørg for at der er taget højde for de risici, der er opstået som følge af hjemmearbejdet.
• Har I fulgt en beredskabs- eller krisestyringsplan, kan den måske også hjælpe til med hvorledes I vender tilbage til en normal it-driftssituation.
• Har I konkret viden om it-driftsforhold, som ikke er blevet varetaget i tilstrækkelig grad under Corona-sundhedskrisen, bør disse forhold snarest mulig bringes i orden. Her tænkes eksempelvis på planlagte service, vedligehold af de tekniske installationer, sikkerhedsopdateringer, men også på en mere grundig teknisk gennemgang af logs, end hvad der er sædvanligt. En gennemgang af logs kan potentielt indikere om, der er sket noget uønsket i perioden.
• Jeres medarbejdere har muligvis haft en arbejds-pc med hjem. Når medarbejderne vender tilbage til deres arbejdsplads, bør det sikres, at der foretages en fuld gennemgang af pc’erne med et opdateret virusværktøj. Har medarbejderne haft mulighed for at installere software på pc’en, bør den skannes med henblik på at få dette software identificeret, så afinstallation kan ske, når der ikke længere er brug for det.
• Efterse at alle pc’er har fået installeret alle relevante sikkerhedsopdateringer, de kan have været off-line i en længere periode, eller automatisk opdatering ikke har været (fuldt) implementeret.
• Gennemgå it-konti, kommunikationsforbindelser og it-løsninger, der er blevet etableret som nødløsninger, med henblik på at få afviklet disse når det akutte behov ikke længere er tilstede.
• Også it-administratorer har arbejdet hjemme. Særlige rettigheder og adgange, som har været betinget af fjernarbejde, bør dokumenteres og dernæst afvikles, hvis de ikke benyttes regelmæssigt. Det samme gælder for adgange for servicedesk-medarbejdere, i det omfang de ikke længere varetager opgaver hjemmefra.
• Indsaml erfaringer fra brugerne og it-kolleger, så organisationen kan være endnu bedre forberedt næste gang. Og fasthold de gode initiativer, f.eks. brug af to-faktor og VPN.
• Styrk bemandingen af service-desk de første par dage efter medarbejderne kommer tilbage, og vær indstillet på, at mange har glemt deres passwords.