Bör vi begränsa medarbetarnas behörigheter på internet?
Är det okej att spara privat material på en jobbdator? Får man som arbetsgivare övervaka medarbetarnas e-post? Vår säkerhetsexpert Tomas Djurling svarar på aktuella detaljfrågor för organisationer som arbetar med sin informationssäkerhetspolicy.
Fråga: Bör vi begränsa medarbetarnas behörigheter på internet, t ex åtkomst till vissa sidor eller nedladdning av vissa filer? Är det okej att spara privat material på en jobbdator? Får man som arbetsgivare övervaka medarbetarnas e-post?
Svar: I förra numret av Offentliga Affärer svarade vi på frågan om hur man arbetar fram en tydlig informationssäkerhetspolicy. Som en fortsättning på denna fråga följer ett antal detaljfrågor, liksom de formulerade ovan. Säkerhetspolicyn anger ledningens syn, inriktning och viljeyttring på hur säkerhetsarbetet ska bedrivas. Detta skrivs på en övergripande nivå. Därefter kommer riktlinjerna som beskriver vad som ska göras. Under riktlinjerna kommer instruktioner eller anvisningar. Dessa dokument utgår från riktlinjerna och beskriver hur saker ska göras.
Detaljfrågorna hamnar därmed i instruktioner/anvisningar och det är i dessa dokument du beskriver vad som gäller för internetanvändande, privat surfande, krav på lösenord, rekrytering, etc.
Det är en smaksak vad man väljer att kalla dessa dokument. Det man bör tänka på här är att det finns behov för instruktioner inom till exempel IT, för både IT-tekniker och användare av IT-system. När det gäller instruktioner/anvisningar för personskydd så är det personalen och HR som är målgrupper för dokumenten eller de två kapitlen.
Övervakning och begränsning
När det gäller loggning och övervakande av privat e-post på jobbdatorn är det enligt min mening bäst att göra detta med de anställdas vetskap och medgivande. Jag brukar föreslå att privat surfande är okej så länge det inte på ett negativt sätt påverkar arbetet. Det är okej att surfa privat i rimlig omfattning.
Men användandet ska omgärdas av regler och vissa förutsättningar. En av dessa förutsättningar är att de anställda godkänner att arbetsgivaren får kontrollera kommunikationen och loggar vid misstanke om brott mot föreskrifterna eller missbruk. Detta ska givetvis även gälla chefer. Personalen får skriva under att de godkänner loggning och i samband med det blir de informerade om påföljder av att inte följa uppsatta regler.
De som inte vill skriva på mister sin möjlighet att surfa på jobbet eller i värsta fall blir omplacerade till annan tjänst, där internetaccess inte behövs för att utföra sitt arbete.
Att begränsa användarnas möjlighet att surfa till vissa hemsidor är svårt. Denna typ av åtgärd blir lätt en katt och råtta lek. Det är dessutom förhållandevis enkelt att gå runt de tjänster och system som finns för ändamålet.
Det är bättre att rikta in säkerhetsarbetet på att ge anställda en korrekt inställning som gör att de själva undviker felaktigt beteende. Det är således sunt förnuft, etik och moral som gäller för att få bort felaktigt beteende. För att se att de anställdas beteende överensstämmer med verksamhetens intentioner måste loggning ske. Om loggningen sker helt öppet så fungerar loggning både förebyggande och för att användas i efterhand vid utredningar där misstanke om att någon brustit mot gällande regler.
De offentliganställda representerar sin myndighet gentemot allmänheten, press och media. Även om de inte officiellt gör det kan det mycket lätt uppfattas som att de i sina uttalanden och ageranden representerar den myndigheten de arbetar på. På grund av detta bör det alltid finnas en friskrivningsklausul i e-postmeddelanden och i andra sammanhang där information utväxlas. Klausulen bör finnas med i alla uttalanden som inte görs i myndighetens namn.
En friskrivning gör att risken för missförstånd undviks och därmed skyddar man både sin personal och verksamheten.
Lagra privata filer på arbetsdatorn
Jag kan tycka att det kan vara okej att lagra enstaka privata filer på arbetsdatorn. Det man starkt måste begränsa är bland annat upphovsrättsskyddat och förbjudet material. Lagring av filmer, musik, bilder och annat bör inte tillåtas alls.
Anledningen är att det kan ställa till problem ifall det uppstår misstankar om materialet är piratkopierat. Även om det är legitima kopior så kan äganderätten till materialet ifrågasättas. Ett sådant ifrågasättande kan skapa dålig publicitet för organisationen.
Sist men inte minst måste den anställde förstå att ägaren till datorerna troligen har större rätt till datorn och innehållet än den anställde har.
Tomas Djurling
Har du en fråga om säkerhet?
I nästa nummer av Offentliga Affärer besvarar Tomas Djurling frågan:
Vi håller på med att arbeta fram en säkerhetspolicy här på verket och jag undrar vad du menar med kontinuitetsskydd. Kan du utveckla det begreppet, vad inkluderar du i det begreppet?
Har du en fråga om säkerhet? Mejla till brev@hexanova.se
Tomas Djurling har sin bakgrund från den svenska underrättelsetjänsten och Försvarets radioanstalt, FRA. Tomas arbetade under drygt 17 år på FRA och i arbetsuppgifterna ingick att hjälpa myndigheter med säkerhetsarbetet.