De fleste små og mellomstore bedrifter har gode rutiner for IT-sikkerhet. Brannmurer, tofaktorautentisering og skyløsninger står høyt på agendaen. Langt færre har imidlertid et like bevisst forhold til fysisk informasjonssikkerhet – særlig håndtering og destruksjon av sensitive dokumenter og lagringsmedier.
Papirer med personopplysninger, kontrakter, lønnsinformasjon eller kundedata havner fortsatt daglig i vanlige søppelbøtter, arkivskap eller esker på bakrommet. For mange SMB-er fremstår dette som en ubetydelig risiko. I realiteten kan konsekvensene bli alvorlige.
Papirkurven er ikke nøytral
Et dokument er ikke ufarlig bare fordi det er «utdatert». Så lenge informasjonen er lesbar, kan den komme på avveie. GDPR stiller klare krav til at personopplysninger ikke bare lagres sikkert, men også slettes på en forsvarlig måte når formålet er oppfylt. Det samme gjelder for forretningssensitiv informasjon som kan skade bedriften kommersielt dersom den havner hos feil aktør.
Vanlige makuleringsmaskiner på kontoret gir ofte en falsk trygghet. Mange av disse kutter dokumenter i lange strimler som i praksis kan rekonstrueres. Enda mer problematisk er håndtering av digitale lagringsmedier. Gamle PC-er, harddisker og mobiltelefoner inneholder ofte langt mer informasjon enn man er klar over – også etter «sletting».
Kontroll handler om hele verdikjeden
For SMB-er handler sikker informasjonsbehandling i stor grad om kontroll. Hvem har tilgang? Hvor oppbevares materialet før destruksjon? Hvordan transporteres det? Og kan man dokumentere at informasjon faktisk er destruert?
Profesjonelle løsninger for sikker makulering bygger nettopp på denne kjeden: låste og plomberte beholdere, sporbar transport, adgangskontrollerte anlegg og destruksjon som gjør rekonstruksjon umulig. Når dokumenter kvernes og blandes før gjenvinning, eller når digitale lagringsmedier fysisk ødelegges, reduseres risikoen til nær null.
For mange SMB-ledere er dette et område man først tar på alvor når noe går galt. Datatilsynets reaksjoner, tap av kundetillit eller lekkasjer av interne dokumenter er kostbare – både økonomisk og omdømmemessig.
Et lederansvar – ikke en driftsteknisk detalj
Håndtering av sensitiv informasjon er ikke en ren driftsoppgave. Det er et lederansvar. Akkurat som økonomistyring og HMS må også informasjonssikkerhet være en del av virksomhetens grunnleggende styring.
En moden SMB bør kunne svare tydelig på hvordan sensitiv informasjon destrueres, hvem som har ansvar, og hvilke rutiner som gjelder når ansatte slutter, systemer byttes ut eller arkiver ryddes. Det handler ikke om å overinvestere i sikkerhet, men om å unngå åpenbare sårbarheter.
I en tid der tillit er en stadig viktigere konkurransefaktor, vil også kunder og samarbeidspartnere i økende grad forvente at bedrifter tar dette på alvor. Det gjelder ikke bare digitale systemer, men hele informasjonsløpet – fra opprettelse til destruksjon.
Små grep, stor effekt
For mange SMB-er er veien til bedre praksis kortere enn man tror. Det starter med bevissthet. Neste steg er å etablere en løsning som fjerner usikkerhet og personavhengighet fra prosessen. Når destruksjon blir en rutine, ikke en ad hoc-avgjørelse, reduseres risiko betydelig.
Sikker makulering er kanskje ikke det mest synlige tiltaket en bedrift gjør. Men det er ofte de stille systemene som avgjør om en virksomhet er robust – også når ingen ser på.