Ledelse
Hold kortene tett til brystet
En av fire virksomheter har ingen strategi for å sikre bedriftshemmeligheter, viser en fersk undersøkelse blant ledere. Ekspertene mener at de må slutte å slurve, og at godt sikkerhetsarbeid kan utgjøre forskjellen på suksess og kroken på døren.
Hver fjerde virksomhet mangler en strategi for styring av virksomhetskritisk informasjon. Det kommer frem av en spørreundersøkelse som advokatfirmaet DLA Piper har utført blant 205 ledere innenfor en rekke sektorer i det offentlige og det private. Ifølge partner og spesialist på området, Fredny Bade, er det svært viktig å få på plass en slik strategi.
– Dette handler om å sikre egne investeringer fra å bli utnyttet av konkurrentene. I det stadig tøffere konkurranseklimaet kan dette i ytterste fall utgjøre forskjellen på suksess og kroken på døren, sier hun.
Etter 25 års erfaring i bransjen, mener Bade at dette handler om uvitenhet og en god porsjon naivitet. Norske bedrifter tenker først og fremst på de tradisjonelle verdiene, som fabrikkbygninger eller fysiske produkter fra tradisjonelle næringer, som de kan forsikre på tradisjonell måte. De ser ikke helt de store verdiene som de immaterielle verdiene representerer, og dermed heller ikke den betydelige risikoen om disse verdiene ikke er ivaretatt på en god nok måte.
– Det er to typer «angrep» vi er særlig utsatte for: Det ene er bevisst tyveri eller spionasje. Dette er mer sannsynlig enn mange tror. Det andre handler om informasjon som rett og slett er for dårlig sikret, og som uvedkommende får tilgang til, uten at det nødvendigvis foreligger vond vilje bak lekkasje – hvor uvedkommende får tilgang til dette. Dette kan skje i form av ansatte som «snakker for mye», enten når de prater med naboen på bussen, eller i møter med ulike samarbeidspartner eller kunder, eksemplifiserer hun.
Det er viktig å etablere en sikkerhetskultur gjennom opplæring, rutiner og arbeidsavtaler, og om nødvendig også sanksjoner for brudd på disse
I dag er ikke konkurrenten bare nabobutikken i bygda, og det er ikke hardware som representerer de største verdiene til bedriftene. Nå ligger verdiene i rettighetene knyttet til for eksempel teknologi og industridesign.
– Vi må forholde oss til at konkurrentene er fra hele verden, og at det ofte er det kreative arbeidet som ligger bak som representerer kjernen i verdiene våre, forklarer Bade.
Informasjon er verdifullt
I DLA Pipers undersøkelse svarer hele 12 prosent av lederne at de ikke vet hvilken informasjon som må holdes hemmelig. Ifølge den erfarne DLA Piper-partneren kan dette være kundeopplysninger, teknologier, Forsknings- og utviklingsrapporter, erfaringer fra implementeringer, brukeropplevelser, markedskunnskap, kontrakter og finansiell informasjon.
– Det er ofte snakk om immaterielle verdier som er grunnleggende for virksomheten, og som gir den konkurransefortrinn om dette er håndtert riktig. Først må virksomheten sette seg ned for å definere disse. Deretter må dette inkluderes i en informasjonssikringsstrategi, sier Bade.
Hun forteller at DLA Piper har gjennomført én internasjonal undersøkelse, i tillegg til denne nordiske undersøkelsen. Svarene samsvarer med rapporter fra de nasjonale sikkerhetsmyndighetene
Sikringstiltakene
Det finnes en rekke formelle beskyttelsestiltak som patenter, varemerkebeskyttelse og opphavsrett. Ifølge Bade er det også viktig å huske på at potensielt verdifull informasjon utvikles over tid.
– Skulle det oppstå tvister om eierskap er det derfor viktig å dokumentere utviklingen av en teknologi eller et produkt. Også de fysiske sikringstiltakene, som å begrense tilgangen til forsknings- og utviklingsområder, it-systemer og viktige dokumenter samt de formelle sikkerhetstiltakene (som valg av samarbeidspartnere, eiere, ansatte, herunder betingelser i avtaler med disse) er viktige temaer i en sikringsstrategi, sier hun.
– Skap en sikkerhetskultur
Ifølge undersøkelsen har hver fjerde virksomhet opplevd at de ansatte har feilhåndtert persondata om kunder, brukere og ansatte eller andre bedriftshemmeligheter. Det dreier seg ofte om ubetenksomhet eller slurv, som gjenglemt it-utstyr med hemmeligheter, lagring av hemmelig informasjon på private servere eller samtaler mellom ansatte og samarbeidspartnere.
– Det er viktig å etablere en sikkerhetskultur gjennom opplæring, rutiner og arbeidsavtaler, og om nødvendig også sanksjoner for brudd på disse, sier Bade.
DLA Piper har funnet ut at hele 22 prosent, eller hver femte virksomhet, ikke har noen konfidensialitetsavtaler. Blant dem som hadde en avtale har 13 prosent opplevd en konflikt med ansatte for brudd på denne. Den vanligste grunnen er bruk av produktinformasjon som har gitt ny arbeidsgiver en kommersiell fordel.
– Selv om du har en slik avtale er det viktig at du er kritisk til hvem du deler informasjon med, hva som må deles, når og på hvilke måter. Sørg alltid for nødvendig sikring først, og skreddersy konfidensialitetsavtalen til hva som skal deles. Gode avtaler kan også forebygge og løse konflikter sier Bade.
Ekstern behandling av personopplysninger
Ifølge Bade er det også viktige å lage rutiner for hva som skjer med kritisk informasjon når en arbeidstaker slutter.
Når gjelder personopplysninger ber hun alle sørge for at såkalte databehandleravtaler brukes der dette kreves. I DLA Pipers undersøkelse sier så mange som hver femte virksomhet at et utenforstående selskap behandler personopplysninger for virksomheten. Dette gjelder spesielt statlige og fylkeskommunale virksomheter – henholdsvis 42 prosent og 33 prosent av de spurte.
Lederverktøy
Trenger du å fornye verktøykassa?
Bla deg gjennom våre lederverktøy for gode tips, triks og faglig påfyll.
Gå til lederverktøy.
