Informasjonssikkerhet er tett knyttet til omdømme
– Dersom HR snubler i behandlingen av sensitive data, kan det få store konsekvenser for både enkeltmennesker og for virksomheten, sier Torgeir Waterhouse. Å slå av funksjonen for autofullføring i epost-programmet, er et effektivt råd fra IT-eksperten.
– Hvis du ikke lykkes med sikkerhet og personvern, så kan du legge ned virksomheten, poengterer Waterhouse og understreker at dette ikke bare handler om lovkrav, det er også tett knyttet til virksomhetens omdømme og verdier.
– Å mislykkes med dette, kan gjøre det vanskeligere å rekruttere, uavhengig av lovbrudd eller ikke.
Torgeir Waterhouse, som har jobbet med it og it-politikk i Forbrukerrådet og IKT Norge i mer enn 20 år og nå driver rådgivningsselskapet Otte, kommer til HR Tech-konferansen i september med foredraget «Sikkerhet og personvern i HRs eget virke».
– Dette handler ikke om at folk skal skremmes fra å bruke teknologi, men for at de skal kunne utvikle bevissthet, kompetanse og rutiner for å lykkes med det, understreker han.
HR deler mye data
Det er ikke til å komme unna at HR i de fleste virksomheter forvalter kjerneidentiteten til de ansatte og sitter på sensitive data om en rekke mennesker.
– En aktuell fallgruve for HR er hvordan data gjerne utveksles med mange, sier Waterhouse.
Informasjonssikkerhet vurderes etter tre parametere: Konfidensialitet (at data ikke kommer uvedkommende i hende), integritet (at dataene ikke kan endres utilsiktet) og tilgjengelighet (at dataene er tilgjengelige for autoriserte ved behov).
– I Norge er det mye fokus på konfidensialitet, altså at data som ikke skal på avveie, ikke havner på avveie, sier Waterhouse, og viser til et tenkt, men helt sikkert et reelt eksempel: En mellomleder skal rekruttere, og HR sender over en liste over søkere og CV-er. Mellomlederen kopierer dette over på iPad-en, og tar det med på hytta for å se på det i helga.
– Da er dataene plutselig utenfor virksomhetens kontroll, påpeker Waterhouse.
Store konsekvenser
Det er selvfølgelig mange grunner til at informasjon om ansatte og om søkerlister ikke må komme på avveie. Enkelte navn på søkerlister kan i ytterste konsekvens være børssensitive, mens i andre sammenhenger kan det være private årsaker til at informasjon for all del ikke må komme på avveie.
– Det er de som vil oppleve at livet rakner dersom det skjer, sier Waterhouse, og understreker at det i slike tilfeller godt mulig ikke bare er den enkelte medarbeider en lekkasje får konsekvenser for.
– Det kan være alt fra ubeleilig til ulovlig, og kan få store konsekvenser også for virksomheten, sier Waterhouse.
Ett av hans konkrete råd er å slå av funksjonen for autofullføring i adressefeltet på e-postprogrammet.
– Det minsker sannsynligheten for at du feilsender en e-post betraktelig.
Tenk beredskap
Én ting er at HR ikke må være løsslupne med informasjon, en annen utfordring er den som oppstår når uvedkommende forsøker å bryte seg inn i virksomheten.
– HR-folk er en yndet inngang. På samme måte som økonomer åpner vedlegg som heter noe med bilag, åpner HR-folk vedlegg som heter noe med CV. Men slik blir virksomheter lett forsøkt satt under angrep, forklarer Waterhouse.
På konferansen vil han også snakke om beredskap, om hvem som har ansvar for hva, og ikke minst vil han oppfordre HR til å tenke på hvilke rutiner de har når kriser oppstår.
– Om systemene er nede en time eller to på grunn av vedlikehold, kan man ta en pause og spise en is. Men hva gjør dere om systemene blir angrepet og blir nede i en uke eller to?
Les mer om Torgeir Waterhouse her.
Les mer om konferansen HR Tech og se program og påmelding her.