Har du kontroll på hvor informasjonen flyter og hvem som har tilgang til den?

Vi deler informasjon og data mye mer enn tidligere, og dette krever god kontroll på hvor informasjonen flyter, hvem som har tilgang og hvor lenge den lagres. Konsekvensene av det motsatte vil du unngå.

Måten vi jobber på har endret seg, og regelverket for hvordan sensitiv data skal sikres har blitt strengere. Dette stiller krav til at du har kontroll på hvor informasjonen flyter og hvem som har tilgang til den, forklarer Dag Nyrud, direktør for Modern Work & Security i Microsoft.

– Konsekvensen av det motsatte er et slag for omdømmet ditt og tilliten du har blant partnere og kunder. I tillegg vanker det store bøter om du for eksempel bryter personvernforordningen GDPR, sier han.

– Norske bedrifter prøver å ha kontroll

– Vi ser at mengden data øker nesten eksponentielt og den flyter mer, både internt, mellom partnere og ut til kunder. Å bygge gode strukturer for å ha kontroll over disse dataene blir dermed kritisk – både for å kunne hente verdi ut av informasjonen, men også for å ha bedre kontroll på hvor og hvor lenge dataen ligger, og hvem som har tilgang, forklarer Nyrud.

– Det er mange bedriftsledere som er bekymret over hvem som har tilgang til informasjonen deres, men det er ikke alltid like lett å se hvor man skal starte for å løse denne utfordringen, forteller han videre.

– Det å ha god informasjonsarkitektur gjør det ikke bare lettere å finne frem og koble sammen forskjellige datapunkter, men gjør det også lettere å sikre de. Ved å klassifisere data, kan du sette regler for hva som gjelder for de forskjellige typene av data, og dermed automatisk forhindre at noen forsøker å gjøre noe med informasjonen som de ikke har tillatelse til.  For eksempel dersom du tilsiktet eller utilsiktet deler en fil som er markert «strengt fortrolig» til noen utenfor selskapet, så kan dette automatisk fanges opp og stoppes før det skjer, forklarer Nyrud.

Vil du lære mer om å forbedre risiko og etterlevelse, beskytte og forstå informasjon og dataen din? Sjekk ut vår nye webinarserie: Informasjonsbeskyttelse, styresett (governance) og informasjonsarkitektur

Har 400-500 ulike systemer

I Norges største selskap, Equinor, har de enorme mengder data. James Elgenes er leder for data og informasjon innen feltet «subsurface». Han forteller om tre hovedutfordringer knyttet til de enorme datamengdene:

– Det første handler om dataflyt, som for oss innebærer at vi har opptil 400-500 forskjellige systemer som vi bruker og der mesteparten av dataene er låst inne i disse løsningene. Dermed er det mangel på flyt på tvers av disse systemene som gjør det vanskelig å styre dataene effektivt, forklarer Elgenes.

– Det andre utfordringen handler om kultur. Hvis vi ikke tar vare på informasjonen vår og hvis folk ikke har eierskap til dataene, kan de faktisk ende opp med å bli verdiløse og  bare tar opp serverplass. Det kan enkelt løses ved at vi behandler data riktig, altså lagrer det på rett sted med rett navn i rett format. Og hvis vi kan administrere standardisert data på tvers av organisasjonen, kan vi begynne å bruke ny teknologi som skylagring, analyse og maskinlæring.

– Den tredje utfordringen er knyttet til standardisering og å holde styr på informasjon. Generelt sett kan jeg si at vi har mange systemer som kanskje mangler tilstrekkelig styring og i noen tilfeller er det gitt feil tilganger. Dette kan gjøre det vanskelig å lære av hverandre på tvers av organisasjonen og at vi ikke finner de riktige tingene.

Et viktig vendepunkt for Equinor når det gjelder å ha kontroll på all dataen, var å standardisere hvilke systemer som skulle brukes. Tidligere brukte selskapet flere forskjellige systemer for dokumenthåndtering, men nå gjøres mesteparten gjennom Microsoft 365.

– Å benytte SharePoint Online vil gjøre det enklere å samarbeide, dele informasjon og lære av hverandre. Uansett hvor du jobber eller hva du jobber med, har du samme løsning, og det ser jeg at mange vil bli fornøyde med. I tillegg ser jeg at vi kan kutte kostnader ved å ha ett system fremfor å ha flere ulike programmer.

Dette bør du unngå

Gode rutiner knyttet til forvaltning og beskyttelse av informasjon er viktig for også mindre selskaper, ifølge Atle Skjekkeland i Infotechtion, som hjelper norske og internasjonale bedrifter med dette.

– Det er ikke bare viktig for store selskaper som Equinor, men for andre selskaper som ønsker å ha kontroll med sin data og som ønsker å kunne hente ut verdi av sine data. Hvis du får på plass en god strategi og arkitektur for å forvalte og ta vare på informasjon i Microsoft 365, betyr det at du kan erstatte gamle løsninger for dokumenthåndtering, saksbehandling og lignende. Vi hadde en kunde som sparte over 40 millioner på å erstatte gamle løsninger, forteller han.

Han forteller at det er mange norske bedrifter som ikke er like opptatt av å ha kontroll på informasjonen de besitter.

– Dessverre er det fremdeles selskaper som tenker at det eneste som er viktig i skyen er å ha nok lagringsplass. Det blir som å ha en stor garasje der du tenker at du bare kan hive mer og mer ting inn. Det skaper en del problemer. Folk får problemer med å finne informasjonen, og du møter ikke krav til sletting. Det er ganske kritisk knyttet til for eksempel personforordningen GDPR, som kan gjøre at du får store bøter, forklarer han.

Han har også et konkret eksempel der mange norske bedrifter ikke har helt kontroll:

– I rekrutteringsprosesser blir det hentet inn massevis av CV-er til aktuelle kandidater, men når beslutningen om ansettelse er tatt blir mange av disse CV-ene bare lagret – og det er brudd på GDPR. Du skal ikke overlagre informasjon. Konsekvensene kan bli at Datatilsynet kommer og banker på døra. Du vil ikke bli fremhevet som en bedrift som ikke har kontroll på andres persondata, sier Skjekkeland.

Vil du lære mer om å forbedre risiko og etterlevelse, beskytte og forstå informasjon og dataen din? Sjekk ut vår nye webinarserie: Informasjonsbeskyttelse, styresett (governance) og informasjonsarkitektur

– Folk husker ikke alltid rutinen

Skjekkeland forteller at det er enkle måter å unngå å bli stemplet som versting på, og fremhever at automatisering er den sikreste måten å sikre at for eksempel sletting av data blir gjort.

– Du kan skrive så mange rutinebeskrivelser du vil, men du kan ikke stole på at folk alltid husker å gjøre det riktige. Det finnes mye funksjonalitet i Microsoft som gjør at du kan automatisere slike slette-prosesser, blant annet med etiketter som gjør at dataen slettes automatisk etter en viss periode. Eventuelt kan du koble dette med HR-systemet, som gjør at når du setter slutt-dato på en ansatt som skal slutte der, så slettes det de andre stedene.

Tre grunner til at du må ha kontroll på data:

1. 1. For å kunne sikre at folk finner informasjonen de trenger og kan stole på informasjonen.
   2. For å håndtere informasjon i henhold til lover og forskrifter. Det gjelder ikke bare hvor lenge du kan lagre informasjonen, men også krav til sletting.
   3. For å beskytte sensitiv informasjon, som forretningshemmeligheter, hemmelige prosjekter eller lignende.

«Skygge-IT» er en stor trussel

Microsoft-direktør Dag Nyrud forklarer at et utbredt problem er såkalt «skygge-IT», som innebærer at ansatte lagrer informasjon på plattformer som er utenfor bedriftenes kontroll.

– Du må ha kontroll på hvilke verktøy de ansatte bruker. Om du er for streng og tilbyr for få eller for dårlige verktøy, vil de begynne å bruke verktøy som ikke er godkjent. Kravene har blitt høyere fordi verktøy som folk bruker privat er av høy kvalitet, og dermed blir ansatte tilbøyelige til å bruke disse systemene dersom verktøyene på jobb ikke er gode nok – et eksempel her kan være chattetjenester via sosiale medier eller ymse fildelingstjenester.

– Skygge-IT er noe av det mest alvorlige som kan skje knyttet til informasjon, fordi de ansatte lagrer informasjon på steder det absolutt ikke skal ligge. Du har absolutt ingen mulighet til å ha kontroll. Det er ille – både på grunn av de strenge reglene knyttet til personvern, men også med tanke på sikkerhet, forklarer han.

God kontroll bidrar positivt

Tilbake hos Equinor forteller James Elgenes at god kontroll og tilgang til informasjon er viktig fordi det bidrar positivt til kjernevirksomheten:

– Vi er kunnskapsarbeidere, som innebærer at vi trenger å løse utfordringer. Derfor er det viktig å sikre at vi har tilgang til all data og informasjon som kan bidra til at vi kan gjøre naturressurser til energi, sier han.

Equinor har begynt å teste automatiseringsverktøyet Sharepoint Syntex for å trekke ut relevant data og metadata.

– Vi pleier av og til å si at «om Equinor bare hadde visst hva Equinor vet» – for det finnes så utrolig mye informasjon og «dark data» som vi har hatt i systemene i år etter år. Vi vet at det finnes mye verdifull informasjon her. Jeg tror det er mye potensiale med SharePoint Syntex, og vi ser at det kan være et verdifullt verktøy for å få opp takten på hvordan vi faktisk kan gjøre informasjonen tilgjengelig og sørge for at vi kan finne det, sier han.

SharePoint Syntex bruker AI, eller kunstig intelligens, til å organisere innhold. Verktøyet lar brukere bygge AI-modeller som kan trenes av brukeren selv, uten noe forkunnskap om koding eller lignende. Syntex benytter brukerens egne modeller til å automatisere metadata.

Les mer om SharePoint Syntex

Vil du lære mer om å forbedre risiko og etterlevelse, beskytte og forstå informasjon og dataen din? Sjekk ut vår nye webinarserie: Informasjonsbeskyttelse, styresett (governance) og informasjonsarkitektur