Friday, February 26, 2010

Sikkerhet i spørreundersøkelser


25. Oktober 2007 hadde jeg et innlegg i Aftenposten med tittelen "Er anonyme undersøkelser anonyme?". Dagen etter ga de meg støtte til mine synspunkter på lederplass. Takk til dem for det. Trygve Hegnar kom også på banen med en kommentar, men jeg er fortsatt usikker på om han forstår konsekvensene av det han uttalte der.

Nå er det kanskje på tide å avsløre at mitt innlegg i stor grad var basert på en kundeundersøkelse jeg mottok fra Bergens Tidende, men som også ble benyttet av Aftenposten i sin tid. Interessant da med en leder fra Aftenposten som "slaktet" det opplegget deres eget morselskap benyttet mot sine kunder. Jaja. Om ikke annet så bekrefter det et prinsipielt viktig skille mellom den redaksjonelle og den salgs/markedsmessige siden hos Aftenposten, og det er vel positivt? :-)

Det er på høy tid å gi en liten oppfølger til det innlegget.


De kommersielle leverandørene av undersøkelser har i liten grad lært siden sist. En rekke aktører kjører fortsatt sine undersøkelser standard uten bruk av kryptert forbindelse, altså denne berømmelige hengelåsen som vi sikkerhetsfolk stadig vekk predikerer at vanlige brukere må se etter før de taster inn sitt passord eller kortnummer (klikk for full størrelse):





Jeg har fått høre at slik kryptering er en opsjon fra mange leverandører. Litt sånn "Vil du ha personvern JA/NEI?" opsjon liksom. Litt merkelig at såpass mange bedrifter og organisasjoner ikke tar den opsjonen med. La meg bare si til kundene som kjøper spørreundersøkelser: det koster veldig lite penger for leverandørene av undersøkelser å anskaffe det digitale sertifikatet som gir deg denne opsjonen, så her kan dere antagelig prute på pris. Selv forutsetter jeg at det er inkludert som standard i tjenesten jeg kjøper. Tilbyr de ikke slik kryptering så velg en annen leverandør!

Jeg har i mange sammenhenger kommet med en relativt løs påstand: dersom du bruker slik kryptering som standard for alle dine spørreundersøkelser, internt eller eksternt, så vil det antagelig øke svarprosenten et par hakk. Kall meg gjerne paranoid, men uten den sikringen blir det ingen svar fra meg. (Her kan du forsøke på nytt med en kommentar Trygve!)

La meg gi noen flere gratis tips til din neste "er du fornøyd med jobben din?" undersøkelse internt i organisasjonen, når du skal benytte en ekstern leverandør av tjenesten.

1. Annonser undersøkelsen på intranettet i forkant!
Vi som er litt ekstra varsomme på sikkerhet hater å få mailerl fra tydelig forfalsket avsender adresse (slik de fleste gjør det), hvor de ber oss om å logge inn på usikrede websider med dårlige passord og utlevere avdelingen, sjefen, arbeidsmiljøet og julebordet.

Følgende informasjon skal være med på intranettet:
- Formål
- Eier (En ansvarlig person takk, ikke en avdeling eller funksjon!)
- Gjennomføringsperiode, inkl når vil resultatene bli presentert
- Hvem som skal delta
- Hvordan den enkelte vil bli kontaktet (avsender, tidspunkt, innhold i evt mail osv)
- Kontaktinformasjon dersom man har spørsmål til formål, innhold eller sikkerhet

2. Utsendt mail skal gi referanse til info fra punkt 1, samt kontaktinformasjon

3. Repeter deler av punkt 1 på undersøkelsens første side!

4. Repeter kontaktinfo helt til slutt

Jeg tør å påstå at dette vil kunne heve svarprosenten litt. Dette er uansett ikke tiltak som representerer noen stor ekstrakostnad.

Så da sier jeg bare lykke til @Questback, @Confirmit, TNS Gallup og alle dere andre, måtte den beste leverandøren vinne anbudet.

1 comment:

  1. Fin artikkel, men som jeg desverre ikke tror brorparten av befolkningen forstår betydningen av. Hos Questalyze (http://www.Questalyze.no) er dette standard.

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.