Gå ut på ditt företag och fråga vem som är ansvarig för informationssäkerheten och du lär få svaret: It-avdelningen. Men nu påtalar allt fler experter att ansvaret inte bara ska ligga på it – utan att ett riktigt bra säkerhetsarbete förutsätter att it samarbetar mer och närmare med HR-funktionen, alltså personalavdelningen.

Det skriver IDG News.

Bakgrunden till att den här diskussionen är ett antal incidenter som uppmärksammats stort, i tidningar som Washington Post och Wall Street Journal.

Det handlar bland annat om det statliga bolaget Federal Deposit Insurance Corporation (FDIC) som har ansvaret att utfärda insättningsgarantier. En anställd på företaget som precis skulle sluta sin anställning laddade oavsiktligt ner 44 000 kundregister, inklusive personlig information, till ett usb-minne.

Läs också: Siffrorna skjuter i höjden: Kryptering allt hetare på företagen

Turligt nog var ingen skada skedd, den gången. Händelsen inträffade på en fredag, och upptäcktes på måndagen genom att ett program slog larm. Den före detta anställda kontaktades och fick återlämna informationen.
Men det här är bara en i raden av uppmärksammade incidenter där anställda som ska lämna en organisation får med sig känslig information – och detta har lett till att allt fler nu påtalar att it-avdelningen och personalavdelningen måste börja jobba tajtare ihop för att undvika situationer som dessa.

Exemplet ovan handlar ju om ”den mänskliga faktorn” och det har varit känt länge att människan är den svagaste länken i säkerhetskedjan. Ändå sköts det mesta av säkerhetsarbetet och utbildning därtill av it-avdelningen, och inte av personalavdelningen.

Det är också it-avdelningen som är ansvarig för dataskyddet, och för att veta var informationen finns och vem som har tillgång till den – något som för övrigt brukar kallas identitet- och tillgångshantering.

Flera experter som IDG News talar med understryker också att personalavdelningen självklart måste informera it-avdelningen när en anställd är på väg att sluta – detta även om sortin är planerad sedan länge och uppgörelser är gjorda.

Läs också: Oroväckande trend: Nu ökar ransomware-angreppen mot Androider

– Det är alltid en bra praxis att ha starka band mellan it och personal, säger Joseph Loomis, grundare av Cybersponse. När misstag sker är det ofta en följd av ”en dålig process” och att samarbetet mellan de här avdelningarna inte fungerar.

Dana Simberkoff som är chief compliance and risk officer på företaget Avepoint säger att personalavdelningen och it måste arbeta som gemensamma partner både när det gäller att utbilda och handleda anställda – och det gäller särskilt de som är på väg att sluta i en organisation.

– Åtminstone måste organisationer genomföra regler som gör det tydligt att all data som tas bort när en anställd slutar ska granskas och godkännas, och att deras tillgång till system med kunduppgifter är begränsad och övervakad.

– Personalavdelningen måste arbeta nära och koordinera med it-avdelningen när en anställd lämnar, om de utgör någon form av säkerhetsrisk, och försäkra sig om att det finns en ”sorti-lista” med olika kontrolluppgifter följs, säger Trevor Hawthorn som är teknisk chef på Wombat Security.

Nu slutade de så stort uppmärksammade fallen i USA lyckligt – mycket tack vare att de före detta anställda inte hade några onda avsikter. Det kan vara annorlunda nästa gång.