Advokaten 2/2014

Advokaten 1 Fokus IT-säkerhet kostiga när det gäller vilka rä ttigheter de får ha. Det är också en sak som gör att man måste överväga om man ska ha de apparna eller inte. Jag tycker nog inte att det här är något som enskilda anställda ska ta ställning till. Det här ska det fattas ett policybeslut om som gäller hela organisationen. Problemet med geopositionering gäller även om du som advokat använder tjänster som Instagram eller Facebook. Om du till exempel är på besök hos en klient och går och fikar tvärsöver gatan och tar en bild på den fina espressomaskinen och lägger ut på Facebook, så finns det en risk att dina klientbesök blir allmänt kända. POLICY Säkerhetsexperterna är överens om att de största riskerna uppstår när anställda gör fel eller slarvar och att det enda som kan förhindra det är en ITpolicy som alla känner till. – Har advokatbyrån ingen policy är det dels väldigt svårt att komma åt anställda som gör dumma saker, dels har anställda ingenting att förhålla sig till om de undrar över något, säger Per Hellqvist. De flesta som gör fel gör det av misstag. Man förstår inte effekten av det man gör. Därför är det så bra att ha en ITpolicy eller en informationssäkerhetspolicy. Är man bara två eller tre medarbetare på företaget räcker det att man sätter sig ner och pratar om detta. Fällan för de små och vissa fall även de medelstora företagen är att man inte har någon som är ITansvarig. Då måste chefen ta det ansvaret och se till att det blir av. Robert Jonsson räknar upp ett par exempel på regler som policyn bör innehålla. – Det är jätteviktigt att anställda inte får använda Facebook eller Instagram när de är ute på kunduppdrag. En policy ska vara väldigt tydlig med att arbetsredskap inte ska användas på fritiden så länge det inte stör arbetet Advokaten Nr 2 • 2014 menligt. Man ska inte heller låta barnen installera appar, spela spel eller surfa i mobilen. Lars Perhard understryker att policyn inte får vara för krånglig. – Är arbetsgivaren alltför rigorös är risken stor att personalen struntar i vad som gäller och lägger upp egna system. Så det gäller att hitta en rimlig balans mellan krav på säkerhet och pragmatism. Om inte en rimlig säkerhetsnivå kan nås på detta sätt måste policyn kopplas till att personalen får utbildning och policyn ska kvitteras, säger han. Hur ska man göra med behörigheten. Ska alla på advokatbyrån ha tillgång till allt? – Nej, där är man tvungen att hitta vettiga avvägningar, säger Robert Jonsson. Det finns definitivt ingen anledning till att alla ska ha tillgång till allting, utan advokatbyrån kan dela upp behörigheten, så att bara de som arbetar med en viss klient kan se den informationen. Det är en policyfråga som ledningen måste ta ställning till. Per Furberg konstaterar att det inte finns några färdiga modeller för hur en advokat ska utforma sin ITpolicy. Han tror det handlar om sunt förnuft och att man har tillräcklig hjälp av någon som kan det här med ITsäkerhet. – Det måste införas någon slags lägsta nivå. Man skulle behöva skapa en gemensam kravställning där man anger vad som är lägsta nivå för advokater, säger Per Furberg som anser att Advokatsamfundet skulle kunna driva det här. MOLNET Hur ska advokatbyråer förhålla sig till molntjänster? Advokatsamfundet har tagit fram direktiv som presenterades 2011. Rapporten togs fram av advokaterna Lars Perhard, Björn Gustavsson, Henrik Bengtsson och Advokatsamfundets ställföreträdande chefjurist Johan Sangborn. – Vår konklusion i rapporten är att man måste anpassa säkerheten till sin verksamhet och situation, säger Lars Perhard. Har man höggradigt känslig verksamhet och hanterar till exempel börspåverkande information är kanske tiden inte riktigt mogen för att lägga ut information i molnet. Rapporten slår dock fast att advokatbyråer i allmänhet kan använda molntjänster. – För många av dem som inte har kunskap och intresse av ITfrågor skulle molnet kunna vara ett bra alternativ. Där får de hos många leverantörer en avancerad, anpassad nivå som motsvarar deras behov. Men de ska inte hål35 » SÅ SKAPAR DU ETT SÄKERT LÖSENORD Använd lösenord/ fraser med tio eller fler tecken och en blandning av olika typer av tecken. Ett sätt att skapa säkrare lösenord som är lite lättare att komma ihåg är att använda korta ord med mellanslag eller något annat tecken som avdelare, som till exempel elvakaffe_klockan_10 eller enhets taxa på lokal trafiken? För att öka entropin lägger man till specialtecken, versaler och siffror. Källa: .SE (Stiftelsen för internetinfrastruktur)