Det er ikke lett å følge med på utviklingen når det gjelder sikring av IKT-utstyr. Oppdateringer på brannmurer for tre måneder siden er kanskje utdatert allerede. Hvem som har kommet lengst av dem som utvikler sikkerhetstiltak, og dem som forsøker å få tilgang til data de ikke er autorisert til, er ikke lett å vite. Det er en kamp som ikke stopper opp.
Hva kan vi stole på av utstyr? Vi kan oppleve å få en minnepinne som gave på en messe eller kjøpe en i en forretning, og så viser det seg at det ligger et spionprogram lagret på pennen som ble lagt inn da pennen ble produsert.
Eksempler på tiltak
Hva slags virksomhet vi driver, og hva slags type personopplysninger vi lagrer elektronisk, avgjør hvilket behov vi har for sikringstiltak. Her er det nok en gang en risikovurdering som må gjennomføres. Lovkravene er et minimum av tiltak, men det kan være at lovkravene ikke er gode nok for behovene våre.
Har vi ikke intern ekspertise på området, er løsningen å leie inn ekstern hjelp. Det er et kostnadsspørsmål. Samtidig må vi se på hva konsekvensene blir dersom utenforstående, som amatører, organiserte kriminelle eller konkurrenter, får tilgang til de personopplysningene vi har lagret elektronisk.
Virksomhetene må risikovurdere behovet for å sikre serverrom. Et minimumskrav må være å se på de tiltakene som man benytter for å sikre ordinære arkivrom.
I tillegg må virksomhetene vurdere behovet for overvåking av serverrom med teknisk alarm når det gjelder overvåking av temperatur. Behov for ekstraordinære brannsikkerhetstiltak som brannvarslingsanlegg av typen aspirasjonsanlegg og automatisk slokkeanlegg med inergen må også vurderes.