Hjemmearbejdspladser

Hjemmearbejdspladser Vejledning om it-sikkerhed på pc-hjemmearbejdspladser September 2007 ITEK og Dansk Industri

Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen og Rasmus Aasted ISBN: 87-7353-662-8 0.09.07 2/15

Indhold Indledning...3 Vejledningens formål...3 Virksomhedens it-sikkerhedspolitik - omfatter den pc-hjemmearbejds-pladsen?...5 Arbejdsgiver betalt pc. - må pc'en benyttes til anden anvendelse, f.eks. private formål?.7 Lagring og opbevaring - hvordan behandles fortrolige oplysninger?...8 Kryptering af data...8 It-sikkerhed - er virusberedskab og fysisk sikkerhed i orden?...10 Antivirus- og antispyware programmer...10 Firewall - beskyttelse imod hackerangreb...10 Sikkerhedspakker - alle nødvendige løsninger samlet i ét...11 Beskyttelse af netværk og sikker netværksopkobling...12 VPN opkoblinger...12 Citrix løsning...12 Giritech - fleksible løsninger...12 Fysisk it-sikkerhed på hjemmearbejdspladser...13 Trådløse netværk på hjemmearbejdspladser...13 Afrunding...14 Indledning Det stigende fokus på medarbejderforhold i de senere år har blandt andet udmøntet sig i en ny form for arbejdsplads - hjemmearbejdspladsen. Det er med til at give medarbejderne større frihed, fleksibilitet og betyder øget produktivitet, som i sidste ende gavner både medarbejderen og virksomheden. Ifølge Dansk Statistik drejer det sig om ca. 20 % af de danske lønmodtagere, som har mulighed for at arbejde hjemmefra 1. Enten via egen pc eller arbejdsgiverbetalte pc'er med netværksopkobling til virksomhedens netværk. Indførelsen af hjemme-pc-ordningen pr. 1. januar 2002, hvor virksomheder lovligt har mulighed for at stille internet- og netværks opkobling til rådighed for medarbejdere i deres egne hjem, er alt sammen eksempler på fordele, som kan komme såvel virksomheder som medarbejdere til gode. Set i lyset af de it-sikkerhedsmæssige udfordringer, der kan forekomme i forbindelse med at etablere af pc-hjemmearbejdspladser, har ITEK og Dansk Industris it-sikkerhedsudvalg besluttet at udarbejde denne vejledning. Det er en guide for virksomheder og organisationer, der ønsker vejledning om itsikkerhed ved implementering af hjemmearbejdspladser. Vejledningens formål I vejledningen er det primære fokus rettet mod it-sikkerhed i forbindelse med pc-hjemmearbejdspladser. Hermed er hovedvægten lagt på at fokusere på og 1 'Informationssamfundet Danmark It-status 2005' udgivet af Dansk Statistik og Ministeriet for Videnskab, Teknologi og Udvikling 3/15

beskrive de it-sikkerhedsudfordringer og sikkerhedsløsninger, der er relevante at medtænke i den proces. Denne vejlednings hovedområder er listet op i følgende illustration. Det er alle centrale emner, som har betydning for en effektiv overførsel af virksomhedens it-sikkerhedsprocedurer og retningslinjer til pc-hjemme-arbejdspladserne. Vejledningen fokuserer på følgende hovedområder: Virksomhedens it-sikkerhedspolitik - omfatter den pc-hjemmearbejdspladsen? Arbejdsgiver betalt pc. - må pc'en benyttes til f.eks. private formål? Lagring/opbevaring - hvordan behandles fortrolige oplysninger? It-sikkerhed - er virusberedskab og fysisk sikkerhed i orden? Vejledningens målgrupper Målgruppen for denne vejledning er virksomheder og organisationer, der har interesse i at tilbyde deres medarbejdere en hjemme-pc-ordning. For større virksomheder vil det i første omgang være it-afdelinger samt HR/personaleafdelinger. Disse afdelinger får med denne vejledning gode råd til processen med at skabe sikre pc-hjemmearbejdser. I mindre og mellemstore virksomheder er målgruppen primært de it-sikkerhedsansvarlige eller ledelsen. Andre vigtige forhold I 'Vejledning om hjemmearbejdspladser' af Ministeriet for Videnskab, Teknologi og Udvikling 2 beskrives forskellige følgende fordele og ulemper, som man bør være særlig opmærksom på i forbindelse med implementering af pchjemmearbejdspladser. Det drejer sig bl.a. om følgende forhold: Skatteforhold Forsikringsforhold Arbejdsgiverbetalt pc med udstyr Pc udstyr og kontorinventar A-kasse forhold og arbejdsmiljøregler Arbejdsværelse/kontor i hjemmet Disse forhold er alle væsentlige og bør medtænkes i overvejelserne for at implementere hjemmearbejdspladser. Vi henviser derfor interesserede til at læse mere i Videnskabsministeriets vejledning, som kan downloades på Videnskabsministeriets hjemmeside: http://videnskabsministeriet.dk/site/forside/publikationer/2003/vejledning-omhjemmearbejdspladser/hjemmepc.pdf. 2 'Vejledning om hjemmearbejdspladser', Ministeriet for Videnskab, Teknologi og Udvikling 2003 http://videnskabsministeriet.dk/site/forside/publikationer/2003/vejledning-omhjemmearbejdspladser/hjemmepc.pdf 4/15

Virksomhedens it-sikkerhedspolitik - omfatter den pc-hjemmearbejds-pladsen? De virksomheder, der vælger at implementere hjemmearbejdspladser for deres medarbejdere, bør medregne it-sikkerhedspolitik som en vigtig faktor at have styr på. Ved at overføre arbejdet til medarbejderens hjem flyttes virksomhedens data i til mindre kontrollerede miljøer end de mere sikre miljøer indenfor virksomhedens egne vægge. På de fleste arbejdspladser er der faste rutiner og regler for, hvordan virksomhedens fortrolige data sikres. Når arbejdet flyttes til hjemmet, er der fare for, at de samme procedurer ikke automatisk bliver overført til hjemmearbejdspladsen. Det stiller virksomheden overfor nogle konkrete udfordringer omkring efterlevelse af it-sikkerheden. Det bør der tages stilling til i opbygningen af virksomhedens generelle sikkerhedsniveau, dvs. inden selve implementeringen sættes i gang. Disse udfordringer bør efterfølgende omsættes til retningslinjer, der gælder for såvel virksomheden og medarbejderne. Virksomheden bør have en overordnet it-sikkerhedspolitik Sikkerhedspolitikken bør definere virksomhedens sikkerhedsniveau. Her er formålet at tage stilling til risici, som kan have betydning for sikkerheden - på såvel et internt som eksternt plan. Gennem sikkerhedspolitikken bør det overfor ledelsen og medarbejderne fremgå klart, hvordan opgaver, ansvar for sikkerheden og ikke mindst hvilke standarder, virksomhedens it funktioner er underlagt. Ligeledes bør det være klarlagt, hvordan sikkerhedspolitikken implementeres i virksomhedens daglige forretningsgange, da det er en forudsætning for at opretholde et højt sikkerhedsniveau, at hele virksomheden overholder retningslinjerne. Det vil sige, at alle retningslinjerne nedskrives i en sikkerhedspolitik. Vælg en it-sikkerhedsansvarlig I arbejdet med at sikre at sikkerhedspolitikken efterleves, bør virksomheden udvælge en it-sikkerhedsansvarlig. Den sikkerhedsansvarlige bør ligeledes være ansvarlig for, at sikkerheden på hjemmearbejdspladserne lever op til virksomheden it-sikkerhedspolitik. På den tekniske side bør den sikkerhedsansvarlige have kendskab til virksomhedens it systemer og sørge for, at disse er veldokumenterede. Udvid virksomhedens it-sikkerhedspolitik til hjemmearbejdspladsen I forbindelse med implementering af pc-hjemmearbejdspladser bør itsikkerhedspolitikken udvides, så den er dækkende - ikke kun indenfor virksomhedens vægge, men også for medarbejdernes hjemmearbejdspladser 3. Desuden bør der laves en retningslinje for opretholdelse af sikkerhedsniveauet på pc-hjemmearbejdspladserne. 3 DS 484: 2005. Forkortelse for 'Dansk Standard' hvilket betyder, at det er en standard udarbejdet på nationalt niveau. DS 484 indeholder en række bestemmelser, som har til formål at gøre informationssikkerhed til en specificerbar kvalitet, som læner sig op ad generelle danske lov- og myndighedskrav. Eksempelvis Persondataloven og Bogføringsloven. Standarden kan bruges som grundlag for virksomheders sikkerhedsmålsætninger. Herunder emner som udvikling, implementering, indførelse og effektiv styring af sikkerhedsregler og foranstaltninger. 5/15

Forudsætninger for hjemmearbejdspladser Ifølge de basale standarder for informationssikkerhed, som DS 484 4 bygger på, bør virksomheder kun tillade hjemmearbejdspladser, hvis der kan etableres tilfredsstillende beskyttelse af virksomhedens informationer 5. Det er af afgørende betydning at definere sine sikkerhedsbehov. Hvis ikke, risikerer virksomheden at stå i en sårbar situation, hvor det kan få forretningsmæssige konsekvenser pga. it-sikkerhedstrusler. Derudover er der en række eksterne krav bl.a. lovgivning omkring datasikkerhed og hensyn til omgivende samfund, som alt sammen har indflydelse på sikkerhedsarbejdet. (Se mere i afsnit omkring lagring og opbevaring på side 7). Disse krav kan bedst efterleves i det daglige arbejde - herunder på pc-hjemmearbejdspladserne - ved at have klare retningslinjer defineret i it-sikkerhedspolitikken. Det bør en it-sikkerhedspolitik indeholde En virksomheds it-sikkerhedspolitik bør som minimum medtænke følgende 6 hoved-områder, som alle er valgt ud bl.a. på baggrund af de anbefalinger, som det anbefales at følge i henhold til DS 484 1 : Baggrund for it-sikkerhedspolitikken Formål Omfang Sikkerhedsniveau Sikkerhedsbevidsthed Brud på informationssikkerheden Inspiration til at udarbejde it-sikkerhedspolitikker På DI's hjemmeside kan du finde skabeloner samt læse mere om, hvordan virksomheder kan udforme deres egne it-sikkerhedspolitikker. Udover ITEKs egen it-sikkerhedsskabelon henvises der også til en skabelon på itsikkerhedsportalen.dk, som IT- og Telestyrelsen har udarbejdet. Fælles for begge skabeloner er, at virksomhederne kan tage udgangspunkt i dem, når de formulerer deres egne it-sikkerhedspolitikker: http://www.di.dk/virksomhed/it/informationssikkerhed+og+privacy/trusler+og+loesninger/it-sikkerhedspolitik.htm Forøg virksomhedens informationssikkerhed ITEK og DI har sammen med Dansk Standard udgivet hæftet. Det er en pixiudgave af DS484 og kan bruges som en tjekliste over de kontroller for itsikkerhed, der er beskrevet i standarden. Du kan som DI medlem anskaffe dig hæftet her: http://www.di.dk/butik/publikationer/produktside/?productid=5810 Læs mere om hvilke områder, der bør medtænkes planlægning af itsikkerhedsarbejdet her: http://www.di.dk/nr/rdonlyres/85c3a717-77ad-4f45-a265-41bab02cf1a0/0/itsikkerhedgoderaad2itekdi.pdf 4 DS 484, 2005; 5 Dansk Standard 484: 2005, afsnit 11.7.2 omkring "Fjernarbejdspladser" 6/15

Arbejdsgiver betalt pc. - må pc'en benyttes til anden anvendelse, f.eks. private formål? Det bør fremgå af virksomhedens it-sikkerhedspolitik, i hvilket omfang en arbejdsgiverbetalt computer må anvendes til private formål, da der er risiko for uautoriseret adgang. F.eks. af bekendte eller andre medlemmer af husholdningen. Heriblandt om resten af familien har adgang til computeren og bruger den til f.eks. internet, spil mv. Problemet er, at privat brug af computeren uden for virksomhedens normale rammer kan øge risikoen for virusangreb, tab af data, tyveri samt andre former for tekniske fejl. Virksomheden bør derfor fastsætte retningslinjer for, om pc-hjemmearbejdspladscomputerne må anvendes til privat brug. Vigtige forhold der bør overvejes Hvis virksomheden tillader anden form for anvendelse af hjemme-pc'en, bør der tages stilling til følgende faktorer. Må familien bruge hjemme-pc'en, eksempelvis til spil, privat e-mail, internet mm.? Må der installeres andre programmer end arbejdsrelaterede på computeren? Hvem har ansvaret for eventuelle fejl og skader som følge af privat brug? Er fortrolige arbejdsrelaterede oplysninger sikret, så andre ikke kan få adgang til disse? Må hjemmepc'en benyttes som fælles arbejdscomputer, hvis både manden og konen har mulighed for at arbejde hjemmefra i hver sine jobs? Sådan sikres fortrolige oplysninger på hjemmearbejdspladsen Password For at imødegå sikkerheden i forhold til arbejdsrelaterede og personfølsomme oplysninger bør det sikres, at det kun er medarbejderen, der har adgang til disse data på hjemme-pc'en. Passwords (adgangskoder) er den mest almindelige metode til at beskytte følsomme oplysninger med. Ofte udgøres kombinationen af et brugernavn og en adgangskode beskyttelsen af informationerne. Derfor er det vigtigt at have klare procedurer, der sikrer, at adgangskoderne er svære at bryde, hvormed kun autoriserede brugere har adgang til dokumenterne. Herunder bør der indgå en politik om, at medarbejderen bl.a. ikke bør skrive sine passwords ned i papirform, notere det på opslagstavler, i kalendere mv. i hjemmet, da risikoen for, at medarbejderens password havner i de forkert hænder er potentielt større end på den normale arbejdsplads. Ved at have en klar politik på dette område lever virksomheden op til de krav om sikringsforanstaltninger, som Datatilsynet anbefaler i sin sikkerhedsvejledning nr. 37 fra 2001. Datatilsynet stiller krav om, at der skal etableres en teknisk adgangs kontrol i systemerne, således at autoriserede personer skal identificere sig overfor systemet for at få adgang til disse 6. 6 Sikkerhedsvejledning (Vejl. nr. 37 af 2. april 2001), Datatilsynet 7/15

Forslag til passwordpolitik ITEK har udarbejdet et sæt anbefalinger til en passwordpolitik. Her anbefales det bl.a., at medarbejderne udstyres med brugeridentifikation med tilhørende password som adgangskontrol. Det anbefales, at password har en længde af minimum 8 tegn - blandet mellem tal og bogstaver, samt at de ofte udskiftes. Læs mere om password og se eksempler på passwordpolitikker på DI's hjemmeside her: http://www.di.dk/virksomhed/it/informationssikkerhed+og+privacy/trusler+og+loesninger/passwordpolitik.htm Yderligere informationer: Du kan læse mere om password og sikre adgangskoder på it-borgerportalens hjemmeside: http://www.it-borger.dk/sikkerhed/anbefalinger-det-bor-du-gore/genereltgode-rad-om-it-sikkerhed Lagring og opbevaring - hvordan behandles fortrolige oplysninger? Når virksomheder vælger at lade deres medarbejdere arbejde fra hjemmearbejdspladser, kan det få betydning for data sikkerheden. På den normale arbejdsplads har medarbejderen som oftest fået indarbejdet gode rutiner og adfærd i deres omgang med vigtige data. Det sikrer som regel en forsvarlig behandling af data indenfor virksomhedens mure. Men ved at arbejdet flyttes fra det normale miljø på arbejdspladsen og til medarbejderens hjem, kan der opstå det problem, at der ikke eksisterer en tilsvarende praksis på hjemmearbejdspladsen. I forbindelse med lokal lagring af fortrolige oplysninger, eksempelvis persondataoplysninger, skal de sikres på samme forsvarlige måde, som det bør være praksis indenfor virksomhedens omgivelser. Dette omfatter også udskrivning af dokumenter. Her bør virksomheden fastsætte regler for opbevaring af disse, og hvordan de eventuelt skal tilintetgøres efter brug, så uvedkommende ikke har eller kan skaffe sig adgang til dem. Kryptering af data Medarbejdere der har opkobling direkte til virksomhedens netværk, bør så vidt muligt lagre følsomme oplysninger på virksomhedens servere frem for at gøre det lokalt på hjemme-pc'en. Det er i de fleste tilfælde sikrere at opbevare dokumenter på virksomhedens egne servere, der må formodes at være beskyttet af tilstrækkelige foranstaltninger, der beskytter mod uautoriseret netværksadgang og har en bedre fysisk it-sikkerhed end medarbejderens eget hjem. s Datatilsynets krav om kryptering af følsomme oplysninger Hvis der er tale om transmission af fortrolige oplysninger, herunder personlige oplysninger, skal der ifølge Datatilsynet foretages kryptering. Kryptering er et fagudtryk for, at man gør bestemt information ulæseligt for uvedkommende 8/15

end brugeren eller modtageren af informationerne. Bl.a. bruges kryptering til at sikre filer på harddiske, der kan blive stjålet eller hacket. Oplysninger af følsom karakter, der er omfattet af persondatalovens 7, stk. 1 og 8, stk. 1 betyder, at der skal benyttes en stærk kryptering 7. Hvis uvedkommende får adgang til krypterede dokumenter og filer på en pc, vil krypteringen forhindre, at disse kan læses. Dermed sikres det, at kun de rette personer kan afkode dokumenterne, hvorved datasikkerheden sikres på bedst mulig vis. Eksempler på krypterings produkter: Ultimaco Safeguard Produktet er et eksempel på en løsning, der kan sørge for stærk kryptering og dermed kryptere computerens harddisk komplet. Derudover kan det benyttes til brugerautentificering. Det gøres sværere for uautoriserede brugere at tilgå computeren på hjemmearbejdspladsen og læse data eller bruge enheden som værktøj til at skabe sig vej ind i virksomhedens samlede netværk. Herunder sørger krypteringen også for, at data er beskyttet, selv hvis harddisken fjernes fra arbejdspladsen af uautoriserede personer, som derefter forsøger at få adgang til pc'ens data. Læs mere om Ultimaco Safeguard på: http://www.utimaco.com/c12570cf0030c00a/docname/intern_homeen PGP encryption Dette produkt er et af de mest benyttede krypterings programmer, som kan kryptere følsomme meddelelser; såsom e-mails og andre former for dokumenter, der sendes over internettet. PGP står for "Pretty Good Privacy". Læs mere om PGP encryption på: http://www.pgp.com/ Du kan finde en samlet liste over forskellige krypteringsprogrammer herunder: http://www.epic.org/privacy/tools.html http://www.firewallguide.com/privacy.htm Yderligere informationer: Videnskabsministeriet har tidligere udarbejdet en krypteringsvejledning: 'Praktisk brug af kryptering og digital signatur - en vejledning fra IT- Sikkerhedsrådet'. Du kan finde vejledningen på Videnskabsministeriets hjemmeside her: http://videnskabsministeriet.dk/site/forside/publikationer/2000/praktisk-brug-af-krypteringog-digital-signatur/html/inde0002.htm#0001 Du kan læse mere om kryptering og finde gode råd og eksempler her: http://www.webopedia.com/term/e/encryption.html 7 Sikkerhedsvejledning (Vejl. nr. 37 af 2. april 2001), Datatilsynet 9/15

It-sikkerhed - er virusberedskab og fysisk sikkerhed i orden? Antivirus- og antispyware programmer Virksomhederne bør sikre, at der på medarbejdernes hjemme-pc'ere er installeret relevante antivirusprogrammer, som det er tilfældet med virksomhedens øvrige computere. I den forbindelse er det vigtigt, at virksomhederne medtænker procedurer for opdatering. Opdatering af sikkerhedsprogrammerne I og for sig burde der ikke være større risiko for, at hjemme-pc'en inficeres af virus end arbejdsstationerne i virksomhedens egne lokaler. Problemet er dog, at hjemme-pc'erne hurtigt kan gå hen og blive 'glemt', når der skal foretages opdateringer af antivirussystemerne. Det bør derfor være den it-ansvarliges ansvar at sørge for, at der foretages de nødvendige opdateringer. Enten ved at iværksætte procedurer for automatiske opdateringer, eller ved at orientere medarbejderne om, hvordan de selv vedligeholder og foretager de nødvendige opdateringer. Det samme gør sig gældende for medarbejdere, der eksempelvis er på længerevarende forretningsrejser og medbringer en af virksomhedens bærbare computere. Her kan der opstå det problem, at antivirusprogrammerne i længere tidsperioder ikke bliver opdateret, hvormed pc'en er i en større risiko for at blive infiltreret med virus. Derfor er det vigtigt at have præcise klare procedurer for, hvordan virusberedskabet opretholdes, så virksomhedens data er beskyttede. På samme måde gør det sig gældende for antispyware programmer, som bør være en naturlig del af de tekniske it-sikkerhedsforanstaltninger. Yderligere informationer: Du kan finde en liste over relevante antivirusprogrammer på Microsofts hjemmeside: http://support.microsoft.com/default.aspx?scid=kb;da;49500 Du kan desuden finde en liste over relevante antispyware programmer på: http://spywarefri.dk/vaerktoj.htm Firewall - beskyttelse imod hackerangreb Udover at benytte antivirusprogrammer bør virksomhederne sørge for, at pchjemmearbejdspladscomputerne også er beskyttet af firewalls. De beskytter computeren mod eksempelvis udefrakommende hacker-angreb, samt er en ekstra forhindring imod virusser, orme og trojanske hestes mulighed for at trænge ind på pc'en. Virksomhedens firewall bør så vidt det er muligt sættes op, så den også dækker medarbejdernes pc-hjemmearbejdsplads, når en medarbejder kobler sig til virksomhedens netværk hjemmefra. Hvis den ikke dækker, bør der installeres særskilte firewalls på hjemme pc'erne. Datatilsynet stiller desuden krav om, at personoplysninger skal beskyttes ved opsætning af en firewall, og at der hermed vil kunne opnås en tilstrækkelig sikkerhed. Det er forudsat, at firewall løsningen og opsætningen løbende bliver kontrolleret og ajourført 8. 8 Transmission af personoplysninger over internettet (15.8.2001), Datatilsynet 10/15

Eksempler på firewall løsninger: Windows Firewall Virksomheder der benytter Windows XP styresystemer med servicepack 2, har samtidig en indbygget firewall, som man kan vælge at aktivere og bruge som firewall løsning 1. Denne firewall er med til at blokere for virus og orme, så de ikke får adgang til computeren. Derudover spørger programmet løbende brugeren om tilladelse til at blokere eller fjerne blokeringen af visse forbindelsesanmodninger, når programmet kan genkende en potentiel trussel. Der er mulighed for at oprette sikkerhedslogs, hvor vellykkede og mislykkede forsøg uden brugerens tilladelse på at oprette forbindelse til computeren registreres. Loggen kan dermed fungere som fejlfindingsværktøj til gavn for arbejdet med at højne it-sikkerheden. Læs mere på Microsofts hjemmeside om den integrerede firewall samt om hvordan, man aktiverer den: http://www.microsoft.com/danmark/windowsxp/windowsfirewall.mspx Checkpoint Firewall-1 De virksomheder, som ønsker at gøre mere ud af deres it-sikkerhed, kan overveje at anskaffe sig denne firewall løsning Check Point Firewall-1 fra it-sikkerhedsleverandøren Checkpoint. Det er en firewall blandt mange, der lever op til de krav, der bør indfries for at højne sikkerheden på hjemmearbejdspladserne. FireWall-1 er grundmodulet i en sikkerhedsløsning fra CheckPoint. Fire- Wall-1 indeholder den grundlæggende sikkerhedsfunktion, der ved hjælp af Stateful Inspection giver mulighed for at styre, overvåge og monitorere trafikken gennem firewall'en. Læs mere om Check Point FireWall-1: http://www.checkpoint.com/products/firewall-1/index.html Du kan desuden finde mere information om andre produkter indenfor samme kategori her: http://www.checkpoint.com/products/firewall-vpn.html Yderligere informationer: Du kan læse mere og finde en liste over relevante firewalls herunder: http://www.firewallguide.com/software.htm Sikkerhedspakker - alle nødvendige løsninger samlet i ét For at optimere virksomhedens it-sikkerhed - såvel både på virksomhedens egne omgivelser og på hjemmearbejdspladserne, kan det betale sig at investere i samlede sikkerhedspakkeløsninger. Disse pakker indeholder som regel følgende sikkerhedssoftwareprodukter: antivirus, antispyware, firewall, spamfilter, backup og popup-stopper. Følgende leverandører af it-sikkerhedsprodukter kan levere sikkerhedspakker: 11/15

Norman Bullguard Symantec McAfee Panda F-Secure Trend Micro Bitdefender Kaspersky Sophos Beskyttelse af netværk og sikker netværksopkobling VPN opkoblinger Opkobling til virksomhedens netværk fra hjemmearbejdspladsen vil typisk ske gennem et VPN (Virtual Private Network). Dermed skal der installeres en VPN-klient på medarbejderens hjemme-pc. Den installerede firewall genkender computerens indstillinger, og medarbejderen indtaster brugernavn og password for at få adgang til virksomhedens netværk. Denne løsning er nok den mest kendte løsning, hvor medarbejderne kan få fjernadgang til virksomhedens netværk. Virksomheder og organisationer, der vælger at implementere denne løsning, bør som minimum sørge for at følge de sikkerhedsforanstaltninger vedrørende firewall, kryptering, antivirus programmer mv., som tidligere er beskrevet i denne vejledning. Dermed gøres kommunikationen sikker og uautoriseret adgang til følsomme arbejdsdokumenter forhindres. Citrix løsning Med en citrix løsning som eksempelvis Citrix Access Essentials optimeres datasikkerheden betydeligt. Idéen bag den terminalbaserede serverløsning er, at medarbejderen får adgang til virksomhedens it-systemer fra sin hjemme-pc, men at man ikke overfører arbejdsdokumenterne til hjemme-pc'en. Virksomhedens server sender skærmbilleder til hjemme-pc'en, hvor medarbejderne arbejder fra, mens selve arbejdet foregår på virksomhedens egen server. Det er en fordelagtig og sikker løsning, da man slipper for at have følsomme arbejdsrelaterede oplysninger liggende direkte på pc'en. Medarbejderen behøver i princippet heller ikke tage højde for sikkerhedskopiering af vigtige arbejdsrelaterede dokumenter. Men den væsentligste sikkerhedsmæssige fordel ved at anvende en citrix løsning er, at datasikkerheden øges betydeligt ved at arbejdet primært foregår på virksomhedens server, hvor it-sikkerheden - såvel procedurer og fysisk it-sikkerhed - som oftest er langt bedre, end det er tilfældet i medarbejderens hjem. Læs mere om Citrix Access Essentials og andre citrix løsninger her: http://citrix.com/lang/english/home.asp Giritech - fleksible løsninger En anden nyere løsning, hvor der er taget højde for it-sikkerheden, er Giritechs G/On, der er kendetegnet ved sikker bruger autentificering og med stærk AES kryptering. Det drejer sig om to forskellige produkter indenfor denne kategori henholdsvis G/On USB og G/On Desktop. G/On U en mobil løsning Det ene produkt G/On USB, hvor man kan få adgang til virksomhedens netværk ved at sætte USB-nøglen ind i hjemme-pc'en og derefter angive sit tildelte brugernavn og password. Denne løsning er specielt egnet til folk, der har brug for at logge på et bestemt netværk, men fra forskellige 12/15

pc'ere. Det vil sige en meget mobil løsning, der sikkerhedsmæssigt også lever op til de basale datasikkerhedskrav om kryptering og datasikkerhed. G/On Desktop - til den stationære pc Det andet produkt henvender sig til folk, som nøjes med at koble sig på deres virksomheders netværk via den samme pc. Denne løsning er særdeles velegnet til medarbejdere, der ønsker at arbejde og koble sig på sig på netværket fra den samme computer. Fælles for begge løsninger er, at der ydes en effektiv beskyttelse mod ondsindede vira og spyware mv. Det er fleksible løsninger for medarbejderne, der samtidig er en fordel for virksomheden, da brugerverificering og datakryptering er samlet i et produkt i stedet for at basere sig på en del forskellige sikkerhedsprodukter fra eksempelvis flere producenter. Læs mere om Giritech og virksomhedens forskellige løsninger, bl.a. G/On på deres hjemmeside her: http://www.giritech.com/index.htm Fysisk it-sikkerhed på hjemmearbejdspladser Den fysiske it-sikkerhed på hjemmearbejdspladserne er som regel ikke på samme højde som indenfor virksomhedens egne vægge. Her tænkes på risikoen for tyveri, indtrængen, hærværk eller anden ødelæggelse af virksomhedens aktiver. I virksomhedens normale omgivelser er der som oftest taget højde for disse udfordringer og etableret passende sikkerhedsforanstaltninger. Problemet kan derimod opstå på pc-hjemmearbejdspladsen i medarbejderens eget hjem, hvor virksomhedens datamateriale overføres til et fysisk miljø, hvor man ikke kan forvente den samme standard for fysisk it-sikkerhed som i virksomhedens egne omgivelser. Derfor er det ekstra vigtigt, at virksomheder og organisationer fastsætter regler og klare retningslinjer for, hvordan medarbejderen håndterer virksomhedens aktiver. Specielt personhenførbare oplysninger og andre af virksomhedens fortrolige oplysninger på hjemmearbejdspladsen. Trådløse netværk på hjemmearbejdspladser De senere år er trådløse netværk - WLAN - blevet populære. Flere og flere vælger at anskaffe sig denne opkoblingsmulighed i hjemmene. Dette betyder et øget fokus på it-sikkerheden. Med normale netværksopkoblinger via netværkskabler er risikoen for, at uautoriserede personer skaffer sig adgang til netværket temmelig begrænset. Men signaler fra de trådløse routere spreder sig ud over et større område - op til 200 meter væk, og uvedkommende kan med ganske lidt udstyr opfange eventuelle arbejdsrelaterede informationer eller skaffe sig uautoriseret adgang til virksomhedens netværk. Selvom arbejdsrelaterede data transporteres frem og tilbage fra virksomhedens servere til medarbejderens hjemme pc i krypteret form, er der risiko for, at uvedkommende kan skaffe sig adgang til dem. Risikoen er størst, hvis det trådløse netværk er konfigureret til åben internet adgang - her kan andre personer i princippet koble sig på og benytte netværket til internetsøgning uden medarbejderne har en anelse om 13/15

dette. Med ganske få midler kan uvedkommende skaffe sig adgang til medarbejderens pc og i værste fald få adgang til følsomme arbejdsrelaterede oplysninger, som er gemt lokalt på computerens harddisk. I tilfælde hvor der sendes følsomme persondata over netværk, forlanger Datatilsynet, at de beskyttes af stærk kryptering. Derfor er det vigtigt, at virksomheden sikrer sig, at de trådløse netværk på hjemmearbejdspladserne konfigureres til at være lukkede og krypterede, hvis det skal bruges til erhvervsmæssig brug. Der skal anvendes stærk kryptering - en lang krypteringsnøgle, som er med til at sikre, at kun autoriserede kan få adgang til det trådløse netværk. Hvad kan virksomheden gøre? Problemet kan bl.a. afhjælpes ved, at virksomheden har klare retningslinjer for, hvordan it-sikkerhedsniveauet skal opretholdes i forbindelse med trådløse netværk på hjemmearbejdspladserne. Det betyder, at ansvaret for sikkerhedsniveauet bør fremgå af it-sikkerhedspolitikken. Herunder hvem der har ansvaret for at sikre, at de trådløse routere er beskyttet af firewall's og desuden er beskyttet af stærk kryptering. Virksomheden bør sikre sig følgende: At trådløse netværk på hjemmearbejdspladser beskyttes af en firewall At der anvendes stærk kryptering, når der sendes følsomme person- og erhvervsmæssige oplysninger over netværket At der skiftes krypteringsnøgle med jævne mellemrum At ansvaret for at sikre trådløse netværk på hjemmearbejdspladserne defineres klart og placeres enten hos virksomheden eller medarbejderen Yderligere informationer Du kan læse mere om it-sikkerhed i forbindelse med trådløse netværk og finde en vejledning fra IT- og Telestyrelsen DI's hjemmeside: http://www.di.dk/virksomhed/it/informationssikkerhed+og+privacy/trusler+og+loesninger/traadloese+netvaerk.htm Afrunding Med denne vejledning omkring it-sikkerhed på hjemmearbejdspladser håber vi, at de virksomheder, der overvejer hjemmearbejdspladser også medtænker itsikkerhed og dets betydning i implementeringen. ITEK og Dansk Industri har gennem flere år beskæftiget sig med itsikkkerhed. Formålet er bl.a. at styrke netværk, samarbejde og viden om ITsikkerhed, blandt DI's medlemmer. Desuden også at sikre, at danske virksomheder gør sig fornuftige og relevante overvejelser omkring implementering af brugbare it-sikkerheds løsninger. 14/15

Yderligere informationer om it-sikkerhed Vi henviser interesserede til at finde yderligere oplysninger om ITEK og Dansk Industris arbejde med it-sikkerhed på DI's hjemmeside under it-sikkerhed: http://www.di.dk/virksomhed/it/informations-sikkerhed+og+privacy/ ITEK og Dansk Industri har udarbejdet en række publikationer og vejledninger om forskellige it-sikkerhedsmæssige emner. Disse publikationer kan findes på Dansk Industris hjemmeside: http://www.di.dk/butik/produktfamilie/?familyid=23 Spørgsmål omkring it-sikkerhed kan rettes til konsulent Henning Mortensen, ITEK / Dansk Industri, hem@di.dk, tlf.: 3377 3901. Tjekliste liste til at etablere en sikker hjemmearbejdsplads! > Omfatter virksomhedens it-sikkerhedspolitik hjemmearbejdspladsen? > Må hjemme pc'en benyttes til anden anvendelse, f.eks. private formål? > Foreligger der klare procedurer for sikring af fortrolige oplysninger på hjemmearbejdspladsen? > Er der procedurer for virusberedskab på pc-hjemmearbejdspladsen? > Er der klare procedurer for opdatering af antivirus, antispyware og eventuelt antispam programmer mv.? > Er den fysiske it-sikkerhed på hjemmearbejdspladsen i orden? > Er der klare retningslinjer for opkobling til virksomhedens netværk? 15/15