Budsjettere investerings- og driftskostnader

Det er ikke IKT-servicemedarbeideren som skal utarbeide virksomhetens budsjett, og det forventes normalt ikke at du har økonomibakgrunn i stillingen som IKT-servicemedarbeider. Men det er heller ikke uvanlig at du må delta i budsjettarbeidet for IKT-avdelingen.

Når du skal arbeide med å kartlegge IKT-kostnader, kan det være lurt å bruke et regneark. Her kan du repetere det du lærte om regneark på Vg1.

Husker du dette om budsjett?
Budsjett og avviksanalyse

Hva er et budsjett?

Det kan være nyttig at du venner deg til å lese og tolke regneark når du skal arbeide med IKT-kostnader.

Av grafen kan du hvor mye penger bedriften har tilgjengelig hver måned i året. Penger som for eksempel skal brukes til å betale leverandører og lønninger til de ansatte.

Et innkjøp av nye laptoper til hele bedriften vil utgjøre en stor investeringskostnad som må med i budsjettet.

I det minste må du kunne si noe fornuftig om hvilke kostnader og investeringer du regner med at driften av IKT-systemene vil påføre virksomheten i framtiden. Grunnleggende kjennskap til noen av de vanlige ordene og begrepene som benyttes i forbindelse med budsjettering, kan derfor komme godt med.

Hva er et budsjett?

Et budsjett kalles ofte et forhåndsregnskap. Når vi fører regnskap, registrerer vi hva vi har brukt penger til, og hvor inntektene har kommet fra i løpet av en periode. Et budsjett sier noe om hva vi har tenkt å bruke penger til i framtiden, og hvilke inntekter vi forventer at kommer. En annen måte å betrakte et budsjett på er å si at det er virksomhetens planer uttrykt i kroner.

Det er to faktorer som det er viktig for en bedrift å få oversikt over i budsjettet: resultatet og likviditeten. Resultatet sier om virksomheten kommer til å gå med overskudd eller underskudd, mens likviditeten er uttrykket for hvor mye penger man til enhver tid har. Vi setter derfor gjerne opp et resultatbudsjett og et likviditetsbudsjett. Grunnlaget for disse to budsjettene er virksomhetens forventede inntekter, kostnader og investeringer.

Resultatbudsjettet og likviditetsbudsjettet bruker altså de samme tallene som utgangspunkt, men det er én viktig forskjell. Resultatbudsjettet forteller virksomheten hvilke kostnader og inntekter den vil ha, mens likviditetsbudsjettet forteller når kostnadene må betales, og når inntektene kommer inn. Dette er vesentlig fordi virksomheten kan ha behov for finansiering for å klare å betale sine regninger til riktig tid, selv om den på sikt kommer til å ha et positivt resultat.

En virksomhet som skal budsjettere, må derfor vite hvilke kostnader IKT-avdelingen vil pådra seg i det kommende året, hvilke investeringer den må gjøre, og når de må gjøres.

Utgangspunktet for et budsjett er gjerne de kostnadene man hadde i foregående budsjettperiode, slik at det er eventuelle endringer i forhold til det normale som det vil være viktigst å få med. I forbindelse med virksomhetens budsjettbehandling må vi derfor kunne svare på følgende:

  • Hvilke IKT-kostnader ut over de som løper fast, må vi regne med i kommende periode?
  • Hvilke IKT-investeringer er planlagt?
  • Når forfaller de ulike IKT-kostnadene og investeringene til betaling?

Dersom du for eksempel vet at bedriften til neste år skal investere i nye laptoper til alle ansatte, eller kjøpe inn et helt nytt regnskapssystem, må kostnadene til disse investeringene synliggjøres i budsjettet for neste år.

Hvis du arbeider for en virksomhet som selger IKT-tjenester, vil selvsagt inntektene du regner med å generere, også være av stor betydning.

  1. Hva er en avviksanalyse?
  2. Hvor ofte bør en gjøre en slik analyse?
  3. Hvem er det som vanligvis utarbeider virksomhetens budsjett?
  4. Hva er et budsjett?
  5. Hva er et likviditeresbudsjett?
  6. Hva er forskjellen på et likviditetsbudsjett og et resultatbudsjett?
  7. Hva er kassakreditt?
  8. Hva trenger en å vite når en skal sette opp et budsjett?

Kostnad eller investering?

I regnskapet skiller vi mellom kostnader og investeringer. Det er regler for hva som regnes som kostnader, og hva som skal ses på som investeringer.

En investering kan defineres som en driftsanskaffelse som koster mer enn 15 000 kroner (eksklusive merverdiavgift) og som har en forventet brukstid på tre år eller mer. En kostnad blir dermed en anskaffelse som koster mindre enn 15 000 kroner eller har en forventet brukstid på mindre enn tre år.

Legg merke til at både kostnader og investeringer som regel må betales med én gang eller i løpet av kort tid. Forskjellen ligger i at investeringer fortsetter å ha en verdi over tid, mens de varene eller tjenestene virksomheten forbruker med en gang, er kostnader.

En firmabil er et eksempel på et driftsmiddel, det er også ulike typer kontormaskiner.

Lenke: Sjekk reglene for avskriving  – artikkel fra miniforetak.no

Avskriving

Hvis en virksomhet for eksempel kjøper en ny nettverksserver til 35 000 kroner, må den selvsagt betale hele beløpet ved anskaffelsen. Men siden serveren representerer en verdi, kan ikke virksomheten kostnadsføre hele beløpet med en gang. I stedet må serveren avskrives i regnskapet over flere år slik at kostnadene fordeles etter hvert som serveren blir mindre verdt.

Avskriving betyr rett og slett at vi hvert år reduserer verdien på en gjenstand i regnskapet fordi den blir eldre og mer slitt. I praksis betyr det at kostnaden blir fordelt over flere år.

Et viktig poeng er at en virksomhet får fradrag for de kostnadene den har til driften. Disse fradragene gjør at det skattepliktige resultatet blir lavere og virksomheten må betale mindre skatt. Både myndigheter og virksomheter er derfor opptatt av at avskrivinger blir gjort korrekt.

Driftsmidler

Utstyr som skal avskrives, kalles for driftsmidler. Driftsmidler er eiendeler som forbrukes over tid (mer enn tre år). Dette gjelder ikke bare datamaskiner, men også annet utstyr som produksjonsmaskiner, biler, driftsbygninger osv.

For virksomhetens skatteregnskap er det egne regler for hvordan ulike typer driftsmidler skal avskrives. En bil faller for eksempel ikke like fort i verdi som en datamaskin. Kontormaskiner, som er den kategorien datautstyr hører til, har derfor en ganske høy avskrivingssats på 30 %. Verdien av en ny datamaskin skal altså reduseres i regnskapet med 30 % av innkjøpsprisen hvert år.

Utstyr som koster mindre enn 15 000 kroner, kan kostnadsføres i sin helhet ved anskaffelse, selv om ustyret har en lengre levetid enn ett år. En bærbar datamaskin til 6000 kroner kan vare like lenge som en server, men fordi den koster mindre enn 15 000 kroner, vil den bli utgiftsført som en kostnad i regnskapet med en gang.

Det oppstår av og til usikkerhet når en virksomhet kjøper flere datamaskiner samtidig, for eksempel fem bærbare maskiner til 6000 kroner per stykk. Siden grensen for investeringer som skal avskrives, går ved 15 000 kroner, og hver maskin bare koster 6000 kroner, kan det være naturlig å anta at alle maskinene skal kostnadsføres med en gang. Men den totale investeringen for alle de fem maskinene er på 30 000 kroner. Og når man kjøper flere enheter av samme type utstyr slik at summen blir over 15 000 kroner, skal det regnes som en investering som skal avskrives selv om den enkelte enhet ikke koster over 15 000 kroner. Forutsetningen er selvsagt fortsatt at utstyret har en brukstid på minst tre år.

En investering er en driftsanskaffelse som koster mer enn 15 000 kroner og som har en forventet brukstid på tre år eller mer.

  1. Hvorfor er det viktig at avskrivingen blir gjort korrekt?
  2. En pc koster 6000 kroner. Hva er verdien på pc-en etter tre år? Verdien avskrives med 30% hvert år.
  3. En virksomhet kjøper inn fem pc-er til 6000 koner hver. Er det en kostnad eller en investering?
  4. Sjefen i firmaet kjøper seg en mobiltelefon til 6000 kroner. Er det en kostnad eller en investering?
  5. Hva er en investering?
  6. En virksomhet kjøper en nettverkserver til 45000 kroner. Hvordan skal den kostnadsføres?

IKT-innkjøp

Større innkjøp og investeringer må planlegges på forhånd. Det er en rekke faktorer som bør være avklart før du bestiller hvis du vil unngå overraskende og ofte unødige kostnader.
Det er naturlig at IKT-medarbeidere i en virksomhet er involvert i de IKT-innkjøpene og investeringene virksomheten må gjøre. Det å bestille en datamaskin krever selvsagt ikke noen omfattende kunnskaper, men ved litt større investeringer må vi være mer påpasselige.

For det første er virksomheten interessert i å få mest mulig igjen for de investeringene den skal gjøre, samtidig som kostnadene holdes nede. Her vil du som IKT-servicemedarbeider kunne bidra fordi du er i en posisjon hvor du kan forutse eventuelle problemer og identifisere kostnader som ledelsen ikke har forutsetninger for å kunne se. For eksempel når det gjelder utstyr som begynner å bli gammelt og som snart må skiftes ut.

Større innkjøp og investeringer må planlegges på forhånd, og det er en rekke faktorer som bør være avklart før du bestiller hvis du vil unngå overraskende og unødige kostnader. Punktene under er ment som en sjekkliste. Alle punktene vil ikke nødvendigvis være aktuelle for alle typer anskaffelser, men de gir en oversikt over hva du bør være oppmerksom på:

Konsekvenser

  • Hvilke konsekvenser vil en investering i nytt utstyr medføre for eksisterende systemer? Vil for eksempel investeringen føre til at annet utstyr eller programvare må oppgraderes?
  • Vil det være behov for å legge om eksisterende rutiner eller etablere nye rutiner?

Levering, installasjon og igangkjøring

  • Når skal levering foregå?
  • Hvem besørger og betaler for levering?
  • Stiller utstyret spesielle krav til lokaler? For eksempel krav til fysisk sikkerhet mot skade eller uautorisert tilgang? Er det behov for temperatur-/fuktighetsregulering? Hvor mange nettverkstilknytninger eller strømuttak kreves?
  • Hvem har ansvaret for å pakke opp utstyret og montere det? Kreves det for eksempel tekniker fra leverandør?
  • Når skal montering og igangkjøring gjennomføres? Må dette for eksempel gjøres utenom vanlig arbeidstid for å unngå at annet arbeid forstyrres?
  • Hvem bekoster montering og igangkjøring?
  • Hvilke personer må være til stede eller tilgjengelige i forbindelse med igangkjøring og testing?
  • Hvis utstyret skal fungere sammen med eksisterende IKT-systemer i virksomheten, hvem har da ansvaret for at dette fungerer?
  • Vil det være behov for å overføre data fra eksisterende systemer, og hvem er eventuelt ansvarlig for at dette gjøres?
  • Hvilke kriterier skal gjelde for overdragelse av ansvaret? Det vil si: Når skal utstyret anses for å være levert?

Dokumentasjon

  • Hvilken dokumentasjon følger med utstyret?
  • Vil det være behov for å utarbeide egen dokumentasjon for brukere?
  • Vil det være behov for å dokumentere nye rutiner eller endre dokumentasjonen for eksisterende rutiner?

Behovet for opplæring

  • Hvilket behov for opplæring vil investeringen medføre for brukere og for IKT-personell?
  • Er det behov for eget kursmateriell?
  • Når skal opplæringen foregå?
  • Kan opplæring gjøres internt eller kreves det eksterne kurs?
  • Hvem skal bekoste opplæring?

Vedlikehold og service

  • Hvor lang servicetid må vi regne med fra leverandøren ved en eventuell feil?
  • Finnes det reservedeler eller reserveutstyr tilgjengelig?
  • Bør virksomheten selv ha reservedelslager?
  • Er det behov for en egen serviceavtale på utstyret?

Garantier

  • Hvilke garantibetingelser følger utstyret?
  • Hva kan vi selv foreta oss med hensyn til service og tilpassinger innenfor garantien?

Betalingsbetingelser

  • Hvilke betalingsbetingelser får vi? Ved investeringer som også inkluderer utvikling av programsystemer, er det for eksempel ikke uvanlig at man betaler deler av regningen underveis.

Som du ser, vil mange av punktene over involvere leverandøren, og mange av dem kan ha en høy kostnad i forhold til prisen på utstyret eller programmet. For eksempel vil ofte installasjon, igangkjøring, tilpassing og opplæring være langt mer kostnadskrevende ved anskaffelse av et nytt programsystem enn prisen på selve applikasjonen. Det er derfor vesentlig å avklare med leverandøren hvem som skal dekke de ulike kostnadene, og hvem som har ansvaret når noe eventuelt ikke fungerer som det skal.

Det er viktig å avklare med leverandøren hvem som skal dekke de ulike kostnadene, og hvem som har ansvaret når noe eventuelt ikke fungerer som det skal.

Tilgjengelighet eller sikkerhet?

Det er nødvendig å finne en balanse mellom kravene til datasikkerhet og behovet for brukervennlige systemer.

Sikkerhetsutfordringene – som for eksempel virus og hacking – har endret seg mye de siste årene.

Hvilke ulemper kan det for eksempel være ved å bruke samme passord på mange ulike tjenester, slik det offentlige nå ønsker å gjøre?

Husker du dette om personvern?

Økende behov for kommunikasjon og datautveksling skaper store utfordringer for IKT-ansvarlige som skal ivareta sikkerheten.

Det blir sagt at det å trekke ut nettverkskabelen og slå av maskinen er den eneste løsningen for å beskytte en datamaskin helt mot datavirus, hacking, datatyveri, uautorisert tilgang eller andre sikkerhetsbrudd.

Siden det vanligvis ikke er en praktisk løsning å gjøre det, må vi akseptere at kravene til sikkerhet alltid må vurderes opp mot brukernes behov for enkel tilgang og brukervennlige systemer.

På den ene siden ønsker vi å ha så god sikkerhet som mulig. På den annen side ønsker vi at systemene skal være så tilgjengelige og brukervennlige som mulig. For dårlig sikkerhet gjør systemene sårbare for datatap og driftsavbrudd, men hvis sikkerheten er for streng, kan systemene bli så tungvinte at de er mer til ulempe enn til nytte.

Et økende behov for kommunikasjon og datautveksling gjør at mange virksomheter må åpne opp stadig flere av systemene sine for nye brukere og bruksområder, og de må gjøre informasjon tilgjengelig på nye måter og steder. Dette skaper store utfordringer for IKT-ansvarlige som skal ivareta sikkerheten i systemene.

IKT-ansvarlige legger vanligvis mest vekt på sikkerheten, siden det å beskytte virksomhetens systemer og sensitive data er et ansvar man må ta alvorlig. I mange tilfeller er sikkerhet også lovpålagt, og slurv kan i verste fall føre til straffereaksjoner fra myndighetene – for eksempel ved for dårlig sikring av dataregistre som inneholder personinformasjon.

Brukerne på sin side er gjerne mest opptatt av at IKT-systemene er lett tilgjengelige og enkle å bruke. Du kan heller ikke forvente at brukere er kjent med den teknologien og de teknikkene som brukes for datasikkerhet.

Som IKT-medarbeider må du derfor finne en balanse mellom kravene til sikkerhet og behovet for brukervennlige systemer.

Databruk i endring og sikkerhetsbevisste brukere

Utviklingen innen mobilteknologi og nettbasert databehandling skaper store utfordringer for en som er ansvarlig for IKT-sikkerhet.

Brannmur som beskyttelse mot virus.

Brukerne må vite hvordan de skal – og ikke skal – oppbevare passordene sine.

Hvis sikkerhetsrutinene oppfattes som så strenge og tungvinte at brukerne føler at de ikke lenger får gjort jobben sin på enkleste måte, vil de etter hvert finne måter å omgå sikkerheten på.

Tidligere handlet sikkerhetstiltak først og fremst om å skape en barriere mellom virksomhetens datasystemer og omverdenen. Vanlige tiltak var brannmurer, systemer for tilgangskontroll, fysisk beskyttelse og overvåking av nettverkstrafikk.

Men utviklingen innen mobilteknologi med smarttelefoner, nettbrett, trådløse nettverk og programmer og data i nettskyen (cloud computing), har gjort det nesten umulig å isolere virksomhetens data fra omverden.

Det fører ikke bare til at det blir vanskeligere for virksomhetens egne IKT-medarbeidere å opprettholde sikkerheten. De må i stadig større grad også stole på at andre ivaretar sikkerheten.

Hvis en virksomhet for eksempel bruker nettsky-tjenester (cloud computing), som Google DiskDropBox, SlideShare eller en av de tusenvis av andre tilsvarende tjenestene på nettet, er virksomheten avhengig av at leverandøren av tjenesten sørger for sikkerheten.

Videre har smarttelefoner, nettbrett og andre mobile datamaskiner gjort brukerne mindre avhengige av virksomhetens datautstyr. Stadig flere bruker like gjerne sine egne telefoner og maskiner i jobbsammenheng og installerer egne programmer og app-er.

Dette kan skape store problemer for IKT-avdelingen, som ikke har mulighet for å ivareta sikkerheten for utstyr som virksomheten ikke eier. Mange velger å forby bruk av alle enheter og programmer som ikke er godkjent av virksomheten, men det har også sine ulemper og kan skape nye problemer og misfornøyde brukere.

Hvis sikkerhetsrutinene oppfattes som så strenge og tungvinte at brukerne føler at de ikke lenger får gjort jobben sin på den enkleste måten, vil de etter hvert finne måter å omgå sikkerheten på. Hvis du for eksempel innfører så strenge krav til passord at det blir vanskelig for brukerne å huske passordene sine, vil mange begynne å skrive ned passordene og oppbevare dem i nærheten av maskinen. Dermed risikerer du at et tiltak som skulle gi bedre sikkerhet, i praksis fører til at sikkerheten blir dårligere.

For å komme ut av denne klemmen og unngå at datasikkerhet blir et stridstema, må

  • IKT-medarbeidere anstrenge seg for å forstå brukernes behov for tilgjengelige systemer
  • ledelsen og brukerne bli bevisste på at de også selv har et ansvar for å ivareta sikkerheten

Det kan for eksempel bety at du må akseptere dårligere sikkerhet for systemer og data som ikke er så kritiske. Brukeren på sin side må akseptere strengere sikkerhetsrutiner for de mest sårbare systemene og de mest sensitive dataene.

Narvik-saken

Våren 2011 besluttet Narvik kommune seg for å gå over til Googles nettsky-tjenester (Google Apps) for e-post, kalender og dokumentutveksling for over 1500 ansatte.

Narvik var den første kommunen i Norge som valgte å satse på en slik nettsky-tjeneste, og det ble ikke godt mottatt hos Datatilsynet. Datatilsynet mente at personvernet ikke ville bli godt nok ivaretatt fordi kommunen mistet kontrollen over personopplysninger når de overlot det ansvaret til Google.

Datatilsynet var også skeptiske til at Google, som et amerikansk selskap, ikke er underlagt norske regler for personvern, og at kommunen dermed ikke kunne vite hvor opplysningene ble lagret, eller hvem som fikk tilgang til dem. Datatilsynet gav derfor Narvik kommune beskjed om at kommunen måtte si opp avtalen med Google.

Narvik kommune klaget på vedtaket og forsikret Datatilsynet om at Google Apps ikke ville bli brukt til saksbehandling eller sensitive saksopplysninger. Videre informerte Narvik kommune innbyggerne sine om at de ikke får sende sensitive opplysninger til kommunen via e-post. Høsten 2012 snudde Datatilsynet.

Datatilsynet understreker imidlertid at selv om Narvik nå har fått godkjent bruk av nettsky-tjenester, er det ikke fritt fram for alle kommuner eller offentlige etater.

Lenker

Sikre soner

I stedet for å prøve å beskytte alle data like godt velger mange virksomheter etter hvert å være mer fleksible.

I praksis blir det gjort ved at man skiller de viktigste systemene fra de mindre viktige og oppretter en sikker sone for sensitiv informasjon og kritiske data. Man kan for eksempel velge å benytte fysisk adskilte tjenere eller separate nettverk. På den måten kan man ha de nødvendige sikkerhetstiltakene for den sikre sonen, samtidig som mindre viktige systemer kan være lett tilgjengelige.

Det er lettere å få aksept fra brukerne for strenge sikkerhetstiltak for sensitive data når det er tydelig at det er nødvendig med sikkerhet, og når brukerne ikke får problemer med tilgjengeligheten til mindre sensitive systemer.

I en sikker sone kan man legge flere sikkerhetslag, alt avhengig av behovet for sikkerhet. Eksempler på sikkerhetstiltak kan inkludere:

  • fysisk atskilte tjenere
  • separat nettverk
  • frakoblet Internett
  • ingen tilgang via trådløst nettverk
  • autentisering
  • tilgangskontroll
  • kryptering

Men selv om man oppretter en sikker sone, må virksomheten fortsatt ha noen generelle datasikkerhetstiltak for alle systemer. Eksempler er innlogging med passord, brannmur og antivirusprogram.

Det er lettere å få aksept fra brukerne for strenge sikkerhetstiltak for sensitive data når det er tydelig at det er nødvendig med sikkerhet.

Vurdere risiko og konsekvenser

For å vurdere behovet for sikkerhetstiltak kan du gjennomføre en risiko-/konsekvensanalyse.

 En brann i et kontorbygg kan få store konsekvenser dersom ikke tjenere og annen IKT-infrastruktur er godt nok sikret.

Vær oppmerksom på at når det gjelder registrering av personinformasjon er det satt minimumskrav til sikkerhet i loven om personregister. Disse kravene kan ikke fravikes selv om man vurderer både konsekvensene og sjansene for at noe kan gå galt, som lave.

Lenke

Kunnskapssenteret – Risikoanalyse/-matriser

En risiko-/konsekvensanalyse kan gjøres både for virksomhetens IKT-systemer som helhet og for enkeltsystemer. Analysen starter med å besvare spørsmålet:

Hva kan gå galt?

For hvert punkt du lister opp som svar på dette spørsmålet, må du svare på tre nye spørsmål:

  1. Hva blir konsekvensen hvis det som kan gå galt, faktisk går galt?
  2. Hvor stor er sjansen for at det kommer til å skje?
  3. Hvilke tiltak må gjennomføres for å forhindre at det går galt – eller for å begrense skaden hvis det går galt?

Med utgangspunkt i svarene kan du vurdere konsekvensene og sjansen for at noe går galt, opp mot kostnadene ved å gjennomføre sikkerhetstiltakene. Da har du et grunnlag for å bestemme hvor omfattende tiltak som må iverksettes.

Hvis for eksempel konsekvensene er små og det er liten sjanse for at noe kommer til å skje, vil behovet for sikkerhetstiltak også være lite.

Hvis konsekvensene derimot er kritiske for virksomheten, vil behovet for sikkerhetstiltak også være stort – selv om sjansen for at noe kommer til å skje, fortsatt er liten.

En brann som ødelegger alle tjenere slik at alle programmer og data går tapt, er for eksempel lite sannsynlig. Men hvis det skulle skje, kan det i verste fall føre til at virksomheten må opphøre, at den går konkurs eller lignende.

Risikodiagram

Som hjelp til vurderingen kan du bruke et risikodiagram. Her er et eksempel på et slikt diagram:

Sikkerhetsrisiko:
Sannsynlighet Konsekvenser
Minimale Små Middels store Store Kritiske
Svært sannsynlig
Sannsynlig
Lite sannsynlig
Svært lite sannsynlig

Risikodiagram. Forfatter: Arne Jansen

I diagrammet angir radene sannsynligheten for at noe kommer til å skje, mens kolonnene viser hvor alvorlige konsekvensene kan bli.

Rutene i diagrammet har en fargekode som viser om graden av risiko er akseptabel, og hvilket nivå av sikkerhet som kreves.

  • GRØNN = Akseptabel risiko. Krever ikke spesielle sikkerhetstiltak.
  • GUL = Mulig risiko. Spesielle sikkerhetstiltak bør vurderes.
  • RØD = Uakseptabel risiko. Krever spesielle sikkerhetstiltak.

Med «spesielle sikkerhetstiltak» menes tiltak som gjøres spesielt for å forhindre eller begrense skaden av den bestemte risikoen.

Hvis konsekvensene av en hendelse er kritiske, vil behovet for sikkerhetstiltak være stort selv om det er liten sjanse for at noe kommer til å gå galt.

Tre typer sikkerhet

Vi kan dele inn skader og problemer som kan oppstå med IKT-systemer, i tre hovedkategorier med tilhørende sikkerhetstiltak:
  • fysisk skade > fysisk sikkerhet
  • driftsavbrudd > driftssikkerhet
  • tap eller tyveri av data > datasikkerhet

Fysisk sikkerhet er tiltak for å beskytte datautstyr mot fysisk skade. Fysisk skade kan være alt fra brann- og vannskader til hærverk eller tyveri av utstyr.

Driftssikkerhet er tiltak som blir gjort for å hindre at for eksempel et maskinproblem fører til at arbeid eller oppgaver som krever bruk av datamaskiner, blir avbrutt i lengre perioder.

Datasikkerhet, eller informasjonssikkerhet, er tiltak for å beskytte informasjon. Det inkluderer både beskyttelse mot tap av data og mot ulovlig innsyn, misbruk eller tyveri av informasjon.

Hvis det ikke er gjort noe for å begrense skadevirkninger, vil et problem i en kategori ofte forplante seg slik at man også får problemer i de andre kategoriene. For eksempel blir tyveri av en tjener regnet for å være en fysisk skade, men det vil også føre til driftsavbrudd og tap av data hvis man ikke har gjort de nødvendige sikkerhetstiltakene for å forhindre slike konsekvenser.

Vi kan dele inn skader og problemer som kan oppstå med IKT-systemer, i tre hovedkategorier med tilhørende sikkerhetstiltak – fysisk skade, driftsavbrudd og tap eller tyveri av data.

Fysisk sikkerhet

Fysisk sikkerhet er tiltak for å beskytte datautstyr mot fysisk skade. Det kan være alt fra brann- og vannskader til hærverk eller tyveri av utstyr.

LenkeFysisk sikring av datarom

Når et pc-tyveri skaper problemer, skyldes det som regel at man mister viktige data, eller at data kommer på avveier.

En datamaskin er gjerne et fristende bytte for en innbruddstyv. Men vanligvis skaper ikke tyveri av en vanlig pc så store problemer for virksomheten at pc-er bør tyverisikres på andre måter enn annet utstyr som har tilsvarende verdi.

Når et pc-tyveri skaper problemer, skyldes det som regel at man mister viktige data, eller at data kommer på avveier. Men da er det ikke først og fremst den fysiske sikkerheten, men datasikkerheten som har sviktet.

Det stiller seg imidlertid annerledes med maskiner som har spesielle oppgaver, og som ikke kan erstattes på en enkel måte hvis de blir skadet. Eksempler på slike er nettverkstjenere. For slike maskiner vil kravene til fysisk sikring være større fordi konsekvensene av en skade eller et tyveri vil være langt mer alvorlige for virksomheten.

Det er derfor vanlig å plassere tjenere i rom som kan sikres på forsvarlig måte mot uautorisert adgang eller innbrudd. Det kan også være aktuelt å ha egen brannalarm og automatisk utstyr for brannslokking. Da blir det brukt gass, siden vann, skum eller pulver kan skade utstyret like mye som en brann.

Større virksomheter har gjerne egne datarom hvor man også kan kontrollere temperaturen og begrense statisk elektrisitet.

For bærbare pc-er eller utstyr som står utsatt til for tyveri, kan det være aktuelt å bruke en pc-lås.

Driftssikkerhet

Driftssikkerhet er tiltak som blir gjort for å hindre at for eksempel et maskinproblem fører til at arbeid eller oppgaver som krever bruk av datamaskiner, blir avbrutt i lengre perioder.

Et driftsavbrudd er normalt ikke noe stort problem for virksomheten når det rammer en enkelt pc. Men hvis nettverkstjeneren plutselig stanser, vil det føre til at alle som bruker programmer og data som ligger på tjeneren, heller ikke kan bruke sine maskiner. Et langvarig driftsavbrudd kan derfor bli svært kostbart hvis virksomheten er avhengig av datasystemer for å fungere.

Vanlige årsaker til driftsavbrudd er harddiskkrasj, strømbrudd, brudd på nettverkskabel eller feil i sentrale maskin- eller nettverkskomponenter. Avbrudd kan også forårsakes av datavirus eller feil i programmer.

På Internett kan hackere forårsake driftsavbrudd ved å blokkere tilgangen til virksomhetens nettsider – såkalte DOS-angrep (Denial of Service).

Et langvarig driftsavbrudd kan bli svært kostbart hvis virksomheten er avhengig av datasystemer for å fungere.

Feiltolerante systemer

På grunn av de alvorlige konsekvensene et langvarig driftsavbrudd kan få, legger maskin- og programvareprodusentene ned et stort arbeid i å konstruere såkalte feiltolerante systemer.

For å unngå langvarig driftsavbrudd kan det være lurt å sette opp en speiltjener.

Lenke

Feiltoleranse – Store norske leksikon

Et feiltolerant system innebærer at utstyret er konstruert slik at en enkelt feil ikke skal kunne slå ut hele systemet.

Et feiltolerant system innebærer at utstyret er konstruert slik at en enkelt feil ikke skal kunne slå ut hele systemet. På engelsk kalles dette gjerne for «No Single Point of Failure».

Den mest effektive måten å sikre seg mot driftsavbrudd på er å ha reserveutstyr som står klart til å ta over hvis det skulle oppstå en feil på hovedutstyret. I et nettverk er det mulig å sette opp en reservetjener som står som en nøyaktig kopi av hovedtjeneren. Hvis hovedmaskinen feiler, overtar reserven. En slik reservemaskin kalles for en speiltjener (mirrorserver) fordi den – for alle praktiske formål – er som et speilbilde av hovedmaskinen.

Enkelte maskinprodusenter bygger også maskiner som er spesielt konstruerte med tanke på å unngå driftsstans. Slike maskiner inkluderer gjerne et dobbelt sett av alle sentrale komponenter, i tillegg til innebygd avbruddsfri strømforsyning og RAID-diskløsninger. Hvis en komponent skulle svikte, vil reservekomponenten straks overta, og driften opprettholdes.

Ulempen med duplisering av utstyr er at det fort blir svært kostbart. I virksomheter hvor en driftsstans ikke har umiddelbare alvorlige konsekvenser, velger man derfor ofte rimeligere alternativer.

En vanlig pc kan for eksempel settes opp som reservetjener, slik at de viktigste funksjonene kan opprettholdes inntil man kan skaffe en ny maskin. De fleste maskinleverandører tilbyr også serviceavtaler som garanterer at en maskinfeil vil bli reparert eller at en byttemaskin er på plass i løpet av et visst antall timer fra feilen varsles.

RAID-løsninger

Harddisker og andre datalagringssystemer er et svakt ledd i de fleste IKT-systemer. Siden harddisker er mekaniske, kan det oppstå fysiske skader som kan gjøre at det ikke er mulig å lese eller skrive data til dem. Populært blir dette kalt harddiskkrasj.

RAID er betegnelsen på en teknologi for feiltolerant datalagring som fordeler og dupliserer data over flere harddisker. Dette blir gjort på en slik måte at selv om én disk feiler, vil ingen data gå tapt, og det vil fortsatt være mulig å lese og skrive data til disksystemet.

RAID er en forkortelse for Redundant Array of Inexpensive Disks (overflødig matrise av billige disker). Tidligere var også betegnelsen Redundant Array of Independent Disks (overflødig matrise av uavhengige disker) i bruk.

Hvordan fungerer RAID?

I praksis fungerer RAID på den måten at flere harddisker kobles sammen slik at resultatet blir økt hastighet og bedre driftssikkerhet. Det er definert en rekke ulike RAID-nivåer fra 0 til 6, men det er bare enkelte av dem som blir brukt i praksis.

RAID 0 er bare en metode for å øke dataoverføringshastigheten for harddisker som er koblet i serie. RAID 0 kalles også for «diskstriping» og har ingen feiltoleranse.

RAID 1 er diskduplisering (diskspeiling) hvor alt skrives på to harddisker samtidig. Hvis den ene harddisken krasjer, vil alle data fortsatt være intakte på den andre.

De fleste RAID-løsningene er basert på RAID 5 eller 6. I RAID 5 brukes tre eller flere harddisker som er koblet sammen, og alle data stripes over alle diskene på bitnivå. Det betyr at hvert tegn som skal lagres, blir delt opp og spredd på flere disker. Deretter beregner systemet en kontrollsum for dataene som også lagres på en av diskene. Dette kalles for paritetsberegning, og det er denne kontrollsummen som sørger for feiltoleranse.

Hvis en harddisk krasjer, kan den tapte informasjonen regenereres ved hjelp av kontrollsummene på de andre diskene. I et system som er i bruk, blir dette gjort fortløpende slik at brukerne ikke engang merker at en harddisk ikke lenger fungerer. Det gjør det i tillegg mulig å skifte en defekt harddisk uten at man må stanse systemet.

Illustrasjonen under viser et eksempel på RAID 5 med fire harddisker. En serie data, kalt A, blir delt opp og spredd på hver av de tre første diskene (A1, A2 og A3). På den siste disken skrives paritetsberegning for dataserien (Ap). Det samme gjentas for neste dataserie (B), men nå skrives data på de to første og den siste disken, mens paritetsberegningen skrives til den tredje disken. Slik fortsetter systemet å spre paritetsberegningen ut over alle diskene.

Dette blir gjort for å unngå at paritetsberegningen for alle data skal bli lagret på en enkelt disk. Det har ingen betydning for feiltoleransen hvis en disk krasjer, men det er raskere å regenerere data når det oppstår en diskkrasj, hvis paritetsberegningen er spredt på alle diskene, for da mister man færre data.

Raid 5
Fotograf: Colin M.L. Burnett

Hvis nå for eksempel den første disken krasjer, mister vi dataene A1, B1 og C1. Men ved hjelp av kontrollsummen Ap på den siste disken og de uskadde dataene A2 og A3, kan systemet regne ut hva som var lagret i A1. Det samme gjelder for dataseriene B og C. For dataserien D er det ikke nødvendig å regenerere noen data siden det bare var kontrollsummen for denne serien som var lagret på den første disken.

RAID 6 fungerer på samme måte som RAID 5, med det tillegg at det lagres to kontrollsummer på ulike harddisker slik at to disker kan feile samtidig uten at noen data går tapt.

Lenke

RAID – Wikipedia

RAID innebærer at flere harddisker kobles sammen på en slik måte at resultatet blir økt hastighet og bedre driftssikkerhet.

Avbruddsfri strømforsyning

Siden datamaskiner er avhengige av strøm for å fungere, er dette et svakt punkt sett fra et driftssikkerhetsståsted.

Et uventet strømbrudd fører ikke bare til at maskinen stanser – man risikerer også å miste data som ennå ikke er fysisk lagret.

Et uventet strømbrudd fører ikke bare til at maskinen stanser – man risikerer også å miste data som ennå ikke er lagret på harddisken. Enkelte programmer kan også få problemer hvis maskinen blir slått av uten at programmet først er avsluttet på en ordentlig måte.

En løsning på problemet er å installere en enhet for avbruddsfri strømforsyning (Uninteruptable Power Supply, forkortet UPS). En avbruddsfri strømforsyning er et batteri som kobles mellom datamaskinen og strømtilførselen. Datamaskinen vil da få strøm fra batteriet, som igjen lades kontinuerlig fra den vanlige strømtilførselen. Hvis strømmen plutselig skulle bli borte, vil datamaskinen fortsatt få strøm fra batteriet, og når strømmen kommer tilbake, vil batteriet bli ladet opp igjen.

Hvis strømbruddet blir langvarig, får man fortsatt mulighet til å lagre data og avslutte alle programmer før batteriet er tømt. Det finnes programvare som kan gjøre dette automatisk når batteriet begynner å gå tomt for strøm.

Avbruddsfrie strømforsyninger løser også et annet problem. Mange av komponentene i datamaskinen er følsomme for variasjoner i strømstyrken, og et plutselig strømsjokk, for eksempel ved lynnedslag, kan ødelegge maskinen. En avbruddsfri strømforsyning vil sørge for at datamaskinen hele tiden får jevn strømstyrke og spenning.
 

Datasikkerhet

Datasikkerhet, eller informasjonssikkerhet, er tiltak for å beskytte informasjon. Det inkluderer både beskyttelse mot tap av data og mot ulovlig innsyn, misbruk eller tyveri av informasjon.

Her skal vi først og fremst se på tiltak mot tap av data. Tiltak mot ulovlig innsyn, misbruk eller tyveri av informasjon er behandlet i det neste kompetansemålet «Aktivisere, vurdere og dokumentere sikkerhetsmekanismer for å forebygge og varsle forsøk på sikkerhetsbrudd».

Tap av data kan skje på mange måter og vil før eller senere ramme alle datamaskinbrukere. Den vanligste årsaken er rene uhell som enten skyldes uforsiktighet eller manglende kunnskaper hos brukeren. Filer blir slettet ved en feiltakelse, programmer blir avsluttet uten at arbeidet er lagret, eller eksisterende data blir overskrevet. Alt er vanlige feil, men i de fleste tilfellene er ikke skaden større enn at konsekvensene begrenser seg til litt irritasjon og ekstraarbeid.

Verre er det med ødelagte lagringsmedia eller harddiskkrasj. Hvis det ikke finnes en kopi av dataene, kan skaden være uopprettelig.

Regelmessig systematisk sikkerhetskopiering er den eneste fullgode måten å sikre seg mot tap av data på. Det koster ofte langt mer å rekonstruere den informasjonen som ligger lagret i en datamaskin, enn å erstatte selve maskinen. Sikkerhetskopier er derfor en svært rimelig forsikring. En harddisk som krasjer, eller en maskin som bryter sammen eller blir stjålet, er vanligvis enkel å erstatte, men data som ligger lagret i maskinen, kan representere flere års arbeid og i enkelte tilfeller til og med være uerstattelige for virksomheten.

Legg merke til at feiltolerante harddiskssystemer som RAID først og fremst sørger for driftssikkerhet. De kan ikke erstatte sikkerhetskopier som beskyttelse mot datatap. Selv om RAID sørger for at data ikke går tapt ved en harddiskkrasj, gir det ingen beskyttelse mot filer som slettes ved et uhell, eller hvis alle data går tapt i for eksempel en brann.

Gode rutiner for sikkerhetskopiering er derfor det viktigste tiltaket du kan gjøre for å ivareta datasikkerheten.

Regelmessig systematisk sikkerhetskopiering er den eneste fullgode måten å sikre seg mot tap av data på.

Sikkerhetskopiering

For å sikre at data ikke går tapt, må det finnes gode rutiner for sikkerhetskopiering – og det må være en som er ansvarlig for at rutinen blir fulgt.

Det kan være fort gjort å slette informasjon ved en feil.

Hvilke rutiner bør bedriften ha for å sikre data på de ansattes smart-telefoner?
Fotograf: Erlend Aas

Tap av data kan skje på mange ulike måter, og rutinene for sikkerhetskopiering må beskytte mot alle.

Tap av data kan skje på mange ulike måter:

  • feil på lagringsmedia – for eksempel harddiskkrasj
  • fysisk skade på lagringsmedia – for eksempel brann- eller vannskade
  • tyveri av maskin eller lagringsmedia
  • sletting ved et uhell, uforsiktighet eller manglende kunnskaper – for eksempel en bruker som sletter en fil i stedet for å flytte den
  • bevisst sletting
  • datavirus

Husker du dette om sikkerhetskopiering?

For å kunne beskytte mot alle typer datatap må vi stille noen krav til sikkerhetskopiene og rutinene for sikkerhetskopiering.

  • Man må ta sikkerhetskopier regelmessig.
  • Man må ha sikkerhetskopier som gjør det mulig å gjenopprette gamle data tilbake i tid.
  • Man må ikke oppbevare sikkerhetskopiene sammen med originaldataene.
  • Man må ha et system som gjør det mulig å finne tilbake til gamle sikkerhetskopier.

I tillegg er det også nødvendig med en rutine for å kopiere data fra en sikkerhetskopi tilbake (restore).

Det er også viktig å huske på at det kan være andre enheter enn pc-er og nettverkstjenere som har data som bør sikres – for eksempel nettbrett eller smarttelefoner. Slike enheter krever ofte egne rutiner for sikkerhetskopiering.

Oppbevaring av sikkerhetskopier

Sikkerhetskopier må oppbevares på en måte som gjør at de ikke går tapt samtidig som originaldataene, for eksempel ved en brann. I praksis betyr det at sikkerhetskopiene må fysisk lagres på et annet sted, og da helst i et annet bygg, enn originaldataene.

Når det ikke er mulig, kan man bruke et brannsikkert skap som plasseres et annet sted i det samme bygget. Det finnes også brannsikre kofferter og andre løsninger for trygg oppbevaring.

Sikkerhetskopiering

For å sikre at data ikke går tapt, må det finnes gode rutiner for sikkerhetskopiering – og det må være en som er ansvarlig for at rutinen blir fulgt.

Det kan være fort gjort å slette informasjon ved en feil.

Hvilke rutiner bør bedriften ha for å sikre data på de ansattes smart-telefoner?
Fotograf: Erlend Aas

Tap av data kan skje på mange ulike måter, og rutinene for sikkerhetskopiering må beskytte mot alle.

Tap av data kan skje på mange ulike måter:

  • feil på lagringsmedia – for eksempel harddiskkrasj
  • fysisk skade på lagringsmedia – for eksempel brann- eller vannskade
  • tyveri av maskin eller lagringsmedia
  • sletting ved et uhell, uforsiktighet eller manglende kunnskaper – for eksempel en bruker som sletter en fil i stedet for å flytte den
  • bevisst sletting
  • datavirus

Husker du dette om sikkerhetskopiering?

For å kunne beskytte mot alle typer datatap må vi stille noen krav til sikkerhetskopiene og rutinene for sikkerhetskopiering.

  • Man må ta sikkerhetskopier regelmessig.
  • Man må ha sikkerhetskopier som gjør det mulig å gjenopprette gamle data tilbake i tid.
  • Man må ikke oppbevare sikkerhetskopiene sammen med originaldataene.
  • Man må ha et system som gjør det mulig å finne tilbake til gamle sikkerhetskopier.

I tillegg er det også nødvendig med en rutine for å kopiere data fra en sikkerhetskopi tilbake (restore).

Det er også viktig å huske på at det kan være andre enheter enn pc-er og nettverkstjenere som har data som bør sikres – for eksempel nettbrett eller smarttelefoner. Slike enheter krever ofte egne rutiner for sikkerhetskopiering.

Oppbevaring av sikkerhetskopier

Sikkerhetskopier må oppbevares på en måte som gjør at de ikke går tapt samtidig som originaldataene, for eksempel ved en brann. I praksis betyr det at sikkerhetskopiene må fysisk lagres på et annet sted, og da helst i et annet bygg, enn originaldataene.

Når det ikke er mulig, kan man bruke et brannsikkert skap som plasseres et annet sted i det samme bygget. Det finnes også brannsikre kofferter og andre løsninger for trygg oppbevaring.

Differensiell og inkrementell sikkerhetskopiering

I filsystemet er det bygget inn funksjoner spesielt med tanke på rutiner for sikkerhetskopiering. Blant annet er det mulig å kun ta sikkerhetskopi av filer som har endret seg siden forrige kopiering.
Alle filer og mapper har noen egenskaper som kalles for attributter. I Windows kan du se attributtene for en fil eller mappe ved å høyreklikke på den og velge egenskaper. Nederst i dialogboksen med generelle egenskaper vises attributtene for skrivebeskyttelse og skjult samt en knapp for å vise avanserte attributter.

Det interessante filattributtet for sikkerhetskopiering kalles for arkiv-attributtet og vises i dialogboksen som «Fil klar for arkivering». Programmer for sikkerhetskopiering bruker dette attributtet når de skal avgjøre om en fil er endret siden forrige kopiering.

Hvis arkiv-attributtet er slått på («Fil klar for arkivering» er haket av), er filen endret siden forrige sikkerhetskopiering. Hvis arkiv-attributtet er slått av, er det motsatt.

Windows slår på arkiv-attributtet når en fil blir lagret. Du kan kontrollere dette selv ved først å slå av arkiv-attributtet for en fil. Deretter åpner du filen, gjør en endring, og lagrer den. Nå vil det stå en hake ved «Fil klar for arkivering» igjen.

Programmer for sikkerhetskopiering bruker dette attributtet ved å slå det av for alle filer det tar en kopi av. Når du senere ønsker å ta en ny sikkerhetskopi, kan du be om at programmet bare tar kopi av de filene som er endret siden sist. Dette vil da være alle filer hvor arkiv-attributtet er blitt slått på fordi de er blitt lagret på nytt.

Fordelen med å bare ta kopi av de filene som er endret, er at sikkerhetskopieringen går mye raskere og kopien tar vesentlig mindre plass.

For å kunne holde orden på hva sikkerhetskopieringsprogrammet skal ta kopi av, har ulike typer av sikkerhetskopier forskjellig betegnelse.

En normal eller full sikkerhetskopiering er det vi kan kalle for en vanlig sikkerhetskopi. Det vil si at programmet tar kopi av alle mapper og filer uavhengig av om arkiv-attributtet er slått av eller på fra før. Merk at programmet vil slå av arkiv-attributtet for alle filene når kopieringen er utført.

Når vi starter sikkerhetskopiering, må vi alltid begynne med en normal sikkerhetskopi, men etter dette kan du godt benytte et av de to andre alternativene, kalt differensiell sikkerhetskopiering og inkrementell sikkerhetskopiering.

Begge tar bare kopi av filer som har arkiv-attributtet slått på – altså bare filer som er endret eller er nye siden forrige sikkerhetskopi.

Forskjellen på differensiell og inkrementell består i hva de gjør med arkiv-attributtet. Differensiell sikkerhetskopiering vil la arkiv-attributtet stå urørt, mens inkrementell vil slå det av på samme måte som en normal eller full sikkerhetskopiering.

Type sikkerhetskopi Tar kopi av Arkiv-attributt
Normal alle filer uavhengig av hva arkiv-attributtet er satt til slår av arkiv-attributtet
Inkrementell kun filer hvor arkiv-attributtet er slått på slår av arkiv-attributtet
Differensiell kun filer hvor arkiv-attributtet er slått på endrer ikke arkiv-attributtet
Figur: Typer sikkerhetskopiering. Forfatter: Arne Jansen

Sikkerhetskopiering med rotasjon av lagringsmedier

De ulike typene sikkerhetskopiering kan kombineres for å lage en effektiv sikkerhetskopieringsrutine med rotasjon av lagringsmedier (backup-rotasjon).

En tabell for rotasjon av lagringsmedier kan se slik ut:

Kopieringstidspunkt Kopitype Bånd
lørdag 01.00 full uke 1
tirsdag 01.00 inkrementell dag 1
onsdag 01.00 inkrementell dag 2
torsdag 01.0 inkrementell dag 3
fredag 01.00 inkrementell dag 4

Figur: Forslag til rotasjon – sikkerhetskopiering. Av Arne Jansen

Kopieringen er automatisert og starter automatisk kl. 01.00 om natten når det er liten eller ingen aktivitet. Man begynner med en fullstendig sikkerhetskopi av alle data. Denne lagres på et bånd som blir kalt «uke 1».

Det tar normalt både en del tid og en del plass å kjøre en full kopiering. Etter neste arbeidsdag er det tvilsomt at alle filene er blitt endret, så da er det ingen grunn til å ta kopi av alle filene igjen. Man kan da ta en inkrementell sikkerhetskopi, som bare vil ta med de filene som er blitt brukt eller opprettet etter den normale sikkerhetskopien. Den nye sikkerhetskopien tar derfor mye mindre plass og går langt raskere.

Før kopien kjøres, må man bytte ut båndet med ett nytt som blir kalt for «dag 1», og man flytter «uke 1»-båndet til en sikker oppbevaring.

Slik fortsetter man med inkrementelle sikkerhetskopier på nye bånd (dag 2–4) fram til neste gang det er tid for en full sikkerhetskopiering igjen – etter en uke.

Da starter rotasjonen på nytt med en ny fullstendig sikkerhetskopi, og man bruker da enda et nytt bånd som blir kalt for «uke 2». Når man skal gjøre de inkrementelle sikkerhetskopiene etter hver arbeidsdag, bruker man dagsbåndene på nytt.

Slik fortsetter man, og på slutten av måneden er det ett ukesbånd for hver av de siste fire ukene. Det siste båndet legges til side og kalles for «måned 1» eller navnet på måneden. Så starter rotasjonen på nytt med ukesbånd 1 og de fire dagsbåndene, og så tar man ut det siste av ukesbåndene hver måned.

Etter ett år har man følgende:

  • kopi av alle data og endringer som er gjort den siste uken (ukesbåndet og de fire dagsbåndene)
  • kopi av alle data slik de var i slutten av hver uke for de siste fire ukene (ukesbåndene)
  • kopi av alle data slik de var i slutten av hver måned for de siste tolv månedene (månedsbåndene)

Totalt er det brukt 19 bånd, og hvis det er behov for det, kan man også legge det siste båndet i hvert år til side før rotasjonen starter igjen.

Dette kan virke unødvendig tungvint, men vi kan se på noen eksempler som viser hvorfor et slikt system er fornuftig.

  • Hvis noen har opprettet en ny fil på en tirsdag og ved et uhell sletter den dagen etter, vil filen kunne hentes fram igjen fra kopien som ble tatt natt til onsdag («dag 1»-båndet).
  • Hvis noen opprettet en fil for en uke siden og ved et uhell sletter den i dag, vil ikke filen finnes på noen av dagsbåndene – men den kan hentes fram igjen fra den siste ukeskopien.
  • Hvis noen oppretter en fil i februar, sletter den ved et uhell i mars, og oppdager det først i mai, vil filen kunne hentes fram fra månedsbåndet fra februar.

Muligheten for å kunne gå tilbake i tid kan også være avgjørende hvis man blir rammet av et datavirus som det tar tid før man oppdager. Det kan føre til at man må gjenopprette data fra uken eller måneden før systemet ble infisert.

Et alternativ vil selvsagt være å bruke et nytt bånd til hver sikkerhetskopi, men det blir unødvendig kostbart.

Du finner et eksempel på en rutine for sikkerhetskopiering som benytter en rotasjon som beskrevet over, i kompetansemålet «Dokumentere og gjøre tilgjengelig løsninger på problemer» i Bruker- og driftsstøtte.

Lenke

Sikkerhetskopiering – Veiledning fra NorSIS

Sikker sletting av data

Vi er vanligvis mest opptatt av å unngå å miste data, men i noen tilfeller er utfordringen det motsatte. Vi har behov for å slette data på en slik måte at det ikke er mulig for uvedkommende å gjenopprette dem.

Behovet for å slette data permanent oppstår gjerne når en maskin skal kasseres, gis bort, selges eller må sendes til service.

Innholdet i filer som er slettet på vanlig måte, kan forholdsvis enkelt hentes frem igjen. Du er helt sikkert kjent med at når du sletter en fil på vanlig måte, legges den først i papirkurven slik at det er mulig å angre.

Men selv om du tømmer papirkurven, blir ikke filen slettet fysisk. Det eneste som skjer, er at den plassen filen opptar på lagringsmediet, markeres som ledig – slik at filen ikke lenger vises i utforskeren eller papirkurven. Selve innholdet i filen blir liggende urørt helt til nye data skrives på det området hvor den gamle filen ligger.

Det finnes en rekke programmer som kan hente fram igjen slettede filer, for eksempel Piriform Recuva.

Formatering av en harddisk er ikke mye bedre. På samme måte som vanlig sletting vil ikke det som ligger lagret på harddisken, bli fysisk fjernet eller overskrevet. Filene vises bare ikke i utforskeren lenger. Det kan sammenlignes med å rive ut innholdsfortegnelsen i en bok.

Den enkleste måten å sikre at data ikke kan gjenopprettes på, er ødelegge lagringsmediet fysisk, for eksempel ved å bruke en slegge på en harddisk. Ulempen er selvsagt at disken blir ubrukelig. Dette er derfor bare et alternativ for maskiner som skal kasseres.

Den sikreste måten å unngå at data kan gjenopprettes på, er å ødelegge pc-en fysisk. Det finnes imidlertid metoder for å hente ut data fra harddisker som er fysisk ødelagte, men det krever spesialkompetanse.

En annen metode for å slette data er å avmagnetisere lagringsmediet. Harddisker og magnetbånd lagrer data magnetisk, og ved å kjøre dem gjennom en avmagnetiseringsenhet, også kalt en degausser, blir alle data fysisk slettet. Ulempen er også her at mange typer lagringsmedium ikke kan brukes igjen etter at de er blitt avmagnetisert.

For å fjerne data permanent fra et lagringsmedium på en måte som ikke skader mediet, må dataene overskrives med nye data. Helst mange ganger. Det finnes mange programmer som gjør nettopp dette. Et eksempel er Eraser.

Videoer
 IBAS
How to Destroy a Hard Drive and Data

Lenker
Sikker sletting – Artikkel fra DinSide.no
Degausser.com

IKT og HMS

Arbeidsmiljøloven har strenge regler for å sikre at arbeidstakere ikke blir skadet eller syke av jobben. Arbeidstilsynet har også laget en egen forskrift for arbeid ved dataskjerm.

Lenker
Veiledning om arbeid ved dataskjerm

Forskrift for arbeid ved dataskjerm

Direktoratet for arbeidstilsynet har laget en egen forskrift for arbeid ved dataskjerm.

Kravene til arbeidsmiljø i arbeidsmiljøloven gjelder også for dem som arbeider med IKT, men Direktoratet for arbeidstilsynet har i tillegg laget en egen forskrift for arbeid ved dataskjerm. (Forskrift av 15.12.1994 nr. 1259)

Forskriften stiller krav til

  • tilrettelegging og organisering av dataskjermarbeidsplasser
  • utstyr
  • fysisk miljø
  • oppfølging av arbeidstakernes syn
  • opplæring og informasjon

Stillesittende arbeid foran en dataskjerm kan være er en medvirkende årsak til helseplager. Spesielt er belastningen på synet stor.

Belastningen vil være ekstra stor dersom arbeidstakeren har nedsatt funksjonsevne, for eksempel har redusert syn, lese- og skrivevansker eller har sykdom eller skade som gir nedsatt muskelkraft eller utholdenhet. I slike tilfeller vil det være behov for spesielle tilpasninger av arbeidsplassen.

Forskriften om arbeid ved dataskjerm er beregnet på alle arbeidstakere. Men som IKT-servicemedarbeider må du også være oppmerksom på skader som kan oppstå hvis du må løfte eller flytte på datautstyr.

Unngå å løfte eller bære tunge maskiner, skrivere eller annet utstyr. Bruk en tralle eller lignende for å transportere utstyr. Når du må løfte noe – bruk riktig løfteteknikk. Se løfteteknikk.

Krav til det fysiske arbeidsmiljøet og universell utforming av IKT er også omtalt i Bruker- og driftsstøtte under kompetansemålet «Gi råd i henhold til gjeldende regelverk ved anskaffelse, bruk og utvikling av IKT-systemer».

Ved vanlig sletting eller formatering vil ikke det som ligger lagret på harddisken, bli fysisk fjernet eller overskrevet.

Krav til utstyr for en dataarbeidsplass

§ 9 i forskriften om arbeid ved dataskjerm stiller spesifikke krav til arbeidsplassen og IKT-utstyr. I tillegg har Arbeidstilsynet gitt en del anbefalinger for gode dataskjermarbeidsplasser.

Vær spesielt oppmerksom på at bærbare pc-er som brukes regelmessig, skal ha eksternt tastatur, mus og skjerm.

Skjerm

  • Skjermen bør være en LCD- eller plasmaskjerm av god kvalitet.
  • Skjermbildet skal være rolig, uten flimmer eller andre forstyrrelser.
  • Det må være mulig å justere skrifttype, skriftstørrelse og farger.
  • Tegnene på skjermen må være tydelige, og det skal være tilstrekkelig avstand mellom tegn og linjer.
  • Det skal være mulig å justere lysstyrke og kontrast.
  • Skjermen skal kunne vinkles, roteres og høydereguleres.
  • Skjermen skal ikke gi reflekser eller gjenskinn som kan medføre ubehag.
  • Midten av skjermbildet bør være i 15–30 grader under øyets horisontallinje
  • Synsavstanden bør være 50–70 centimeter.

Tastatur

  • Tastaturet skal være utformet så lavt som mulig og bør kunne skråstilles.
  • Tastaturet skal være atskilt fra skjermen.
  • Tastaturet skal ha en matt overflate for å unngå reflekser.
  • Tastaturet bør ha følbar trykkmotstand og lavt støynivå.
  • Symbolene på tastene skal være tydelige fra den normale arbeidsstillingen.
  • Det skal være tilstrekkelig plass foran tastaturet til å støtte underarmer og hender.

Legg spesielt merke til kravet om at tastaturet skal være atskilt fra skjermen. Dette er fordi brukeren skal kunne bruke tastaturet uten å bli trøtt i hender, armer, skuldre eller nakke.

Forskriften gjelder ikke for bærbare pc-er som brukes i korte perioder, men hvis brukeren skal bruke en bærbar pc regelmessig, tilsvarende en vanlig datamaskin, skal kravene i forskriften oppfylles. Det betyr at brukeren skal ha eksternt tastatur, skjerm og mus.

Mus og pekeutstyr

  • Utstyret skal ha en form som passer i hånden.
  • Utstyret skal kunne brukes med både høyre og venstre hånd.
  • Utstyret bør ha en tynn og myk ledning, eventuelt være trådløst.

Arbeidstilsynet anbefaler at virksomheten skaffer ulike typer mus og pekeutstyr, slik at brukerne kan prøve ut hvilket utstyr de foretrekker.

Arbeidsbord

  • Arbeidsbordet må være stort nok til at det er god plass til utstyr og underarmsstøtte, samt plass til bruk av mus foran tastaturet.
  • Arbeidsbordet skal ha en matt overflate.
  • Arbeidsbordet bør kunne heves og senkes.

Arbeidsstol

  • Arbeidsstolen skal være stødig og ha fem hjul.
  • Stolen skal gi bevegelsesfrihet og en bekvem arbeidsstilling.
  • Stolsetet skal ha regulerbar høyde og bør også kunne reguleres i dybden.
  • Stolryggen skal kunne reguleres i høyden og skal kunne skråstilles.
  • En fotstøtte skal stilles til rådighet for dem som ønsker det.
  • Ved behov skal underarmstøtte kunne påmonteres.

Databriller

Arbeidstakere som får problemer med synet på grunn av arbeid ved dataskjermen, har krav på synsundersøkelse og databrille.

Øynene er utsatt for store belastninger når man arbeider foran en skjerm hele dagen.
Fotograf: Jann Lipka

Arbeidstakere som har behov for synskorrigerende hjelpemidler på grunn av arbeid ved dataskjerm, har krav på en databrille.

Arbeid ved dataskjerm setter store krav til øynene fordi synsavstanden er kort og synsfeltet er lite. Øyet er ikke spesielt egnet for å se på nært hold, og mye arbeid ved skjerm kan overbelaste de små øyemusklene. Resultatet kan bli nærsynthet, synstretthet, sviende eller kløende øyne, svimmelhet og hodepine.

For å avhjelpe dette står det i forskriften om arbeid ved dataskjerm at arbeidstakere som jobber ved dataskjerm, skal få tilbud om øyeundersøkelse og synsprøve

  • før de begynner arbeid ved dataskjermen
  • om nødvendig med jevne mellomrom i tiden deretter
  • dersom de får synsproblemer som kan skyldes arbeidet ved dataskjermen

Hvis synsundersøkelsen viser at det er behov for synskorrigerende hjelpemidler utover vanlige briller eller linser som arbeidstakeren allerede bruker, har arbeidstakeren krav på en databrille.

Databrille er et samlebegrep for brillekorreksjoner som er spesielt tilpasset arbeidstakere som arbeider ved dataskjerm. Det vil som oftest være en enstyrkebrille, men det finnes også progressive/multifokale briller som er gode til skjermbruk. Vanlige progressive briller for daglig bruk regnes imidlertid ikke som databriller.

Lenke 

Databriller – Informasjon fra Arbeidstilsynet

Datautstyr og miljø

Selv om datamaskiner kanskje ikke hører til de verste forurensningskildene, er det etter hvert blitt så mange av dem at du må være oppmerksom på at de også kan utgjøre en miljøtrussel.

Lenke EE-forskriften

Mange miljøtiltak bidrar også til reduserte kostnader.

For det første benytter datamaskiner strøm. På mange arbeidsplasser lar de ansatte datamaskinen stå på til og med når de går hjem, for å slippe å måtte starte den når de kommer neste dag. Dermed blir maskiner stående på om natten, i helger og i ferier. Selv om maskinen går i dvalemodus, trekker den fortsatt strøm.

Det samme gjelder skjermer, skrivere, høyttalere og annet tilkoblet utstyr. For å redusere strømforbruket bør virksomheten ha en regel som sier at utstyret skal slås av når man forlater arbeidsplassen for dagen.

Dette har også et sikkerhetsaspekt. En datamaskin som står pålogget uten at noen er i nærheten, er en sikkerhetsrisiko. Spesielt hvis det er andre som kan ha tilgang til den utenfor arbeidstid.

Resirkulering

Komponentene i datamaskiner og annen elektronikk inneholder tungmetaller som helst ikke skal havne i naturen. Man har derfor begynt å resirkulere komponentene i gamle datamaskiner, og mange leverandører har opprettet egne resirkuleringsprogram.

I Norge har vi også EE-forskriften som stiller krav til mottak, innsamling og gjenvinning av kasserte elektriske og elektroniske produkter. Formålet med forskriften er å redusere de miljøproblemene elektriske og elektroniske produkter forårsaker når de ender som avfall. Forskriften gir produsentene, kommunene og forhandlerne ansvar for retur av EE-avfall.

Andre miljøtiltak

Utskrifter er et annet område hvor det er mulig å være miljøbevisst. Ved å publisere og lese mest mulig dokumentasjon på skjerm unngår man unødvendige utskrifter.

Men når noe først må skrives ut, er det også muligheter. Mange skrivere har for eksempel mulighet for tosidig utskrift. Nettverksskrivere er ofte også konfigurert for å skrive ut en ekstra side mellom utskrifter fra ulike brukere. Denne funksjonen kan vanligvis slås av uten at det skaper problemer.

Videre er det mulig å bruke tonerkassetter til laserskrivere og blekkpatroner om igjen ved å fylle på ny toner eller nytt blekk.

I tillegg til å være miljøvennlige gir slike tiltak også reduserte kostnader.