Du skal rydde op på dit værelse, Mogens!
Ordene faldt prompte, og uden filter fra Grethe, som var bestyrelsens chefsekretær, da aftalen om et bestyrelsesbesøg fra en søsterforening var faldet på plads. Alle, der hørte Grethe sige: ”Du skal rydde op på dit værelse, Mogens” vidste godt, at nu var det alvor.
Der var lidt fnisen i krogene i storrumskontoret udenfor, men det forstummede straks, da Grethe kom ud fra Mogens’ kontor. Grethe skulle man ikke – kunne man ikke – løbe om hjørner med.
This is a true story!
Mogens var direktør i en organisation, jeg en gang var ansat i. Mogens var en meget behagelig og omgængelig mand. Når du kiggede ind i hans kontor, så var der bunker af papir alle steder. Der var bunker på borde, i vindueskarmene og på gulvene. Og så var der små gange mellem bunkerne, så Mogens kunne komme omkring i kontorets to rum.
Så var der kaos i systemet eller system i kaos?
De fleste, der ikke kendte Mogens ville umiddelbart tro, at Mogens var et rodehoved. Lidt distræt og diffus. Så Grethes skrappe ordre: ”Du skal rydde op på dit værelse” kunne måske have været på sin plads. Men Mogens vidste præcis hvad der var i hvilke bunker.
Og det med både en nærmest ærefrygtindgydende og beundringsværdig præcision.
Hvis nogen spurgte, ”Hvor har vi kontrakten med XYZ kunde?”, så kunne Mogens finde den i løbet af ganske kort tid. Et stykke nede i den 4. bunke til højre efter den anden stak til venstre ved kaffekanden (med den faste plads!), henne under lampen over mødebordet.
Så beskeden ”Du skal rydde på op dit værelse” må virkelig have været en trussel mod den orden og systematik, i alle papirerne, der var i lagret som tavs viden inde i Mogens’ hoved.
Og ja, det her var før digitaliseringen for alvor tog fart…
Du skal rydde op på dit værelse” er ikke bare for sjov…
Selvom situationen var lidt småkomisk, så rammer Grethes besked om, at du skal rydde op på dit værelse faktisk plet i forhold til ISO/IEC-standard 27001’s foranstaltning A.7.7: Ryddeligt skrivebord og låst skærm.
For pointen er ikke (kun), at det sender et positivt signal, og at det ser pænt ud, når der kommer gæster.
Pointen er:
- At fortrolige oplysninger ligger ikke frit fremme eller fremgår af whiteboards, opslagstavler osv.
- At vigtige dokumenter, herunder udprintede papirer, ikke “forsvinder” i bunker af alt muligt andet, men opbevares betryggende, og om nødvendigt bag lås og slå.
- At tilfældige forbipasserende ikke får uberettiget adgang til følsom information på papir, skærme eller gennem vinduer.
- Og ja – at skærmen låses hver gang du rejser dig og forlader dit skrivebord – også selvom du “kun lige skal hente kaffe”.
Så måske havde Grethe faktisk fat i noget, da hun sagde, at du skal rydde op på dit værelse!
Et ryddeligt skrivebord og en låst skærm er grundlæggende respekt:
👉 for personoplysninger om andre mennesker
👉 for kolleger, som du beskytter mod deres egen nysgerrighed
👉 og for organisationens beskyttelse af personoplysninger og andre forretningskritiske oplysninger.
Og for øvrigt, så hører foranstaltning A.7.7 om ryddeligt skrivebord og låst skærm til i afsnit 7 om styring af fysisk adgang til information i ISO-standardens appendix A, hvor alle foranstaltningerne er listet op.
Rent praktisk, så kan du med fordel medtage denne foranstaltning i din retningslinje for acceptabel brug af IT, som du kan læse mere om her.
Og hvis du vil have konkrete eksempler på overtrædelser, som relaterer sig til manglende styring af fysisk adgang, så har Datatilsynet tidligere indstillet Region Midtjylland til en bøde på 400.000 kr. for manglende sikkerhed.
Hvornår har du sidst ryddet op på dit værelse?
Hvad tænker du? Har I retningslinjer for ryddeligt skrivebord og låst skærm i din virksomhed eller forening?
Behandler I personoplysninger, som I burde og kunne beskytte bedre ved at lave ganske enkle regler?
God behandlingssikkerhed er ikke svært – og I kan sagtens lade jer inspirere af ISO-standarderne uden at overimplementere…
Det er sådan set bare at komme i gang med at rydde op på dit værelse 😉
Fredagsfinten leverer små, lette tips og tricks til at forbedre din databeskyttelse, IT- og Informationssikerhed i hverdagen!