Awareness

Awareness anvendes som en samlebetegnelse for alle de opmærksomhedsorienterede tiltag, som kan øge medarbejderes bevidsthed og viden om sikkerhedsmæssige aspekter. Det kan dreje sig om, hvad medarbejdere ikke må gøre, eller hvad de bør/skal gøre. Det handler derfor typisk om at motivere medarbejderne til en mindre risikabel eller ændret adfærd ved datahåndteringen. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for mange forskellige scenarier, der kan påvirke datas fortrolighed, integritet eller tilgængelighed.

Det kan være tiltag, der træner medarbejdere i at spotte phishing-beskeder, hvor en svindler gennem e-mail eller SMS forsøger at franarre medarbejderen sine login-oplysninger. Hvis medarbejderne undlader at give sådanne oplysninger, klikke på mistænkelige links eller åbne vedhæftede filer, kan man evt. undgå kompromittering af brugeradgange eller organisationens netværk. Awareness kan også være information til medarbejdere om, at alle handlinger i it-systemer logges i håbet om at forebygge misbrug.

Hvis medarbejdere lærer, hvad de skal gøre for hurtigt at få spærret et tabt/stjålet et adgangskort, kan awareness også udgøre en opdagende foranstaltning, som gør det muligt potentielt at standse en hændelse (tabt/stjålet adgangskort), inden hændelsen får en indvirkning på organisationens behandling af personoplysninger (kortet misbruges til adgang til data/papirer).

Følgende er en liste over tiltag, hvorfra der kan plukkes, alt efter hvad der er relevant i den enkelte organisation og i forhold til den enkelte behandling af personoplysninger.

Flere af tiltagene kan endvidere understøttes teknisk, så brugerne ikke kan undgå at gøre det rigtige. Tiltag som alene beror på procedurer, der skal huskes og efterleves, indebærer i sagens natur en risiko for manglende efterlevelse. Denne risiko kan ofte minimeres i væsentlig grad gennem teknisk understøttelse.

• Sikring af kendskab til, hvilke handlinger der logges, formålet med logningen samt mulige sanktioner ved misbrug af fx adgangsrettigheder. Det kan omfatte logning af brugerens handlinger i it-systemer, men også logning af fysisk adgang til lokaler, tv-overvågning, mv.
• Autorisationsansvarlige, brugeradministratorer og brugere oplyses om, hvad de må med deres respektive adgangsrettigheder, fx:
  • at brugere ikke må anvende data til andet end arbejdsrelaterede formål,
  • at autorisationsansvarlige skal have fokus på begrænset adgang (ikke kun på brugernes mulighed for opgaveløsning), og
  • at brugeradministratorer ikke må handle på egen hånd og skal dokumentere alle autorisationer udstedt af de autorisationsansvarlige.
• Vejledning til valg af adgangskoder, herunder at undgå koder, som også anvendes i privat regi, fordi disse kan være kompromitterede eller ikke tilstrækkeligt sikre.
• Indskærpende information om, at adgangskoder, tokens, adgangskort og andre adgangsgivende faktorer er strengt fortrolige og personlige og, at brugeren står til ansvar for alle handlinger udført under deres login – evt. med henvisning til logning og sanktioner. Dette kan understøttes med information om faste procedurer for stikprøvekontrol og auditering.
• Instruktion i, hvordan brugerne skal reagere ved mistanke/viden om, at uvedkommende har fået adgang/kendskab til adgangsgivende faktorer.
• Instruktion i, hvordan brugerne skal reagere ved mistanke/viden om, at uvedkommende har fået adgang til adgangsmedier som nøgle, nøglebrik, adgangskort, mv. Selv om der kun er elektronisk adgang til personoplysninger, kan denne instruktion være relevant, hvis:
  • adgangsmediet giver fysisk adgang til it-udstyr, der indeholder personoplysninger, eller
  • sikkerhedsniveauet i den elektroniske adgang er forskelligt, alt efter hvor man befinder sig fysisk – fx inden for eller uden for organisationens kontorbygning.
• Specifik viden om, hvordan personoplysninger må anvendes ved test i forbindelse med udvikling af it-systemer.
• Orientering om konsekvenser ved brud på regler/lovgivning om tavshedspligt og evt. sikre underskrevet tavshedserklæring.
• Generel viden om, hvordan personoplysninger må og skal behandles iht. databeskyttelsesforordningen og anden relevant lovgivning, fx ved at følge interne retningslinjer, som er lavet for at sikre udmøntning af lovgivning. Det kan angå opbevaring, anvendelse, videregivelse, sletning, transmission og andre behandlinger. Særlig opmærksomhed på, at nogle "almindelige" personoplysninger kan være fortrolige, fx beskyttede adresser.
• Målrettet vejledning i anvendelsen af specifikke it-systemer, fx ang. journalisering, offentliggørelse, journalisering med automatiseret offentliggørelse, anonymisering, fjernelse af skjulte metadata (data om data, fx informationer om en fil modsat filens indhold), krav fra lovgivning, m.v. evt. kombineret med værktøjer, der gør det nemmere at udføre førnævnte handlinger uden at begå fejl.
• Målrettet vejledning til brugeradministratorer eller it-sikkerhedsansvarlige i at spotte forsøg på internt misbrug.
• Målrettet vejledning til medarbejdere med adgang til organisationens bankkonti og økonomisystemer angående "CEO fraud" (også kendt som "direktørsvindel"), hvor medarbejdere snydes af én der, udgiver sig for at være direktør. Dette kan evt. kombineres med andre forretningsregler, som understøtter korrekt godkendelse af udbetalinger og valutaoverførsler.

Her kan du læse Center for Cybersikkerheds beskrivelse af en metode til at arbejde med adfærd relateret til informationssikkerhed.

Se også: Forebyggelse af snageri

Se også: Tænk dig om, før du slår op

Da awarenes kan mindske mange og meget forskellige risici, kan det ikke konkretiseres, hvornår foranstaltningen er nødvendig. Awarenes er en organisatorisk (herunder personrelateret/adfærdsmæssig) foranstaltning. Den udgør normalt et supplement til håndtering af trusler, som ikke kan håndteres tilstrækkeligt via tekniske (herunder fysiske) foranstaltninger. Derfor afhænger behovet for awarenes af, hvor meget der kan sikres ad anden vej.