Advokaten 7/8 Hvem gør hvad, hvornår og hvorfor?

Print Print
15-08-2005

Af advokat Per Mejer, Advokaterne Amagertorv 11, Udvalget for drift af advokat­virksomhed, og IT-chef Steen Hermansen, Advokaternes Serviceselskab A/S

Det er muligt at forebygge en ræk­ke problemer ved at holde øje med hvad der sker i it-systemerne. Og det er muligt at gribe ind, når noget går galt. Advokat­virksomhederne gør en målrettet indsats for at have værktøjerne parat. Men hvem gør hvad, hvornår og hvorfor?

De gængse it-systemer har en række overvåg­ningsværktøjer, der viser, hvordan – og hvorvidt – de fungerer tilfredsstillende. Dvs. om alle funktioner i advokatsystem, mail-server, backup etc. kører som de skal. For ikke it-sagkyndige er de forskellige ”logs” og rapporter ikke til at tyde, men med bistand fra en it-person kan man detaljeret se, hvilke funktioner, der gør hvad, og ofte hvilke brugere, der foretager hvad på systemerne.

Sædvanligvis er backup'en sat op, således at en medarbejder hver dag på et print eller pr. e-mail får besked om, hvordan nattens backup er kørt. Backup­båndet skiftes og fjernes fra serverrummet, f.eks. til en bankboks.

Tilsvarende rapporteres pr. e-mail også i de mere raffinerede opsætninger, hvis der transmitteres unor­malt store vedhæftede filer til ukendte e-mailadresser, ligesom anden unormal netværkstrafik medfører en advarsel til en betroet medarbejder.

Erfaringsmæssigt stopper det organiserede imid­lertid her.

Organisatorisk beredskab
Det tekniske beredskab er på plads. Advokatvirksom­heden får signalerne serveret, når der er noget galt. Uanset at ”det er jo aldrig gået galt for os” eller ”hvem skulle dog have interesse i at hacke/ genere vores advokatvirksomhed,” er der talrige vidnesbyrd om, at det kan gå galt – også i jeres advokatvirksomhed.

Advokatvirksomheden skal på forhånd vide hvilken medarbejder, der hiver stikket til internet-forbindelsen ud, lukker serveren ned, ringer til it-leverandøren eller iværksætter singulær overvågning eller efterforskning af en medarbejder, hvis uheldet skulle være ude.

Og medarbejderen/medarbejderne skal kende pro­cedurerne for, hvad man så gør, når stikket er hevet ud, serveren er lukket ned eller overvågning/undersøgelser er iværksat. Hvem skal informeres, hvordan skal der informeres, hvornår skal der informeres og hvad skal der gøres derefter?

Scenarier og procedurer skal så vidt muligt være kendte og gennemtænkt, inden problemet opstår.

De informerede medarbejdere
De informerede medarbejdere reagerer hurtigere og mere rationelt på faresignaler, f.eks. underlige e-mails, mærkelige reaktioner på arbejdsstationerne, underlige filer etc. Og de it-ansvarlige medarbejdere kan langt hurtigere – og dermed langt mere effektivt – reagere på og håndtere kritiske situationer.

Alle medarbejdere skal derfor være informeret på relevant niveau. Hele staben skal vide, hvornår de skal reagere på mærkelige hændelser på systemet, og it-ansvarlige medarbejdere skal vide, hvornår og hvad der skal gøres. Også når den ene partner beder dem om at give adgang til en kollegas (eller måske en anden partners) e-mail-boks.

Når virksomheden informerer alle medarbejdere om registrering og mulig overvågning/ gennemgang af filer og e-mails etc. og andre personhenførbare oplysninger, opnår virksomheden som en ”sidege­vinst” også at opfylde basale krav om dataansvarliges (arbejdsgiverens) information til den registrerede (medarbejderen) i medfør af persondataloven.

Alle medarbejdere ved i et eller andet omfang, at de kan blive overvåget. Ved at informere dem om, at der er faste, rationelle procedurer, der også tilgodeser arbejds- og persondataretlige beskyttelseshensyn over for den registrerede, bliver medarbejderne antageligt også mere trygge og tilfredse.

Når alle procedurer er sat op, og alle informatio­ner er kommunikeret ud, bør virksomheden gå ét enkelt skridt længere. Vi tillader os her at nævne det selvfølgelige, som dog alligevel kan smutte, f.eks. her i den glade sommertid; it-medarbejdere kan i særlige tilfælde tænkes at være utilgængelige. De kan f.eks. have fri. Det kan derfor være hensigtsmæs­sigt, at også andre medarbejdere er introduceret til procedurerne for damage control i virksomheden. Eller at andre som minimum kan slå op et eller andet sted, hvad der skal gøres, ifald de ikke kan få fat på den pågældende medarbejder, der er dagligt ansvarlig for it-sikkerheden.

Rygtet vil nemlig vide, at selv it-folk kan være syge eller omfattet af ferieloven……

IT-sikkerhedsguiden, som kan downloades på http://www.advokatnet.dk/it-sikkerhed, beskriver den organisatoriske sikkerhed mere detaljeret i bl.a. afsnittene 1, 6 og 7.