Annonce
Erhverv

Sådan øger I chancen for en succesfuld it-sikkerhedspolitik

Vi har siden forberedelserne til persondataforordningen gik i gang set, at virksomhederne i stigende grad udvikler og kører awareness-kampagner.

Formålet med disse kampagner er at øge medarbejdernes viden om it-sikkerhedsmæssige faldgrupper og dermed styrke it-sikkerheden.

Sideløbende med disse kampagner køres der ofte phishing-kampagner, hvor man sender phishing-mails ud for at se, hvor mange der falder i. Det så vi, da Region Midtjylland før sommerferien udsendte en mail til 1200 tilfældigt udvalgte medarbejdere i regionen. I mailen blev de bedt om at skifte adgangskode ved at følge et link. Og hele 42 procent faldt intetanende i.

Det tal er selvfølgelig alt for højt, da det udgør en risiko. Det er derfor en god idé at gøre medarbejderne mere bevidste om deres e-mailadfærd.

En phishing-kampagne kan sammen med en awareness-kampagne fint indgå i et større forløb for at forbedre it-sikkerheden.

Det er dog vigtigt at få en lidt dybere forståelse for, hvorfor folk klikker på disse e-mails og tænke medarbejderrettet it-sikkerhed bredere. Det får man kun ved at lave en analyse af, hvordan medarbejdernes arbejdsgange og procedurer passer ind i virksomhedens it-sikkerhedspolitik.

Annonce

Medarbejderne skal med

Ofte gribes it-sikkerhed an uden at involvere medarbejderne i tilstrækkelig grad. Det er dog ikke sikkert, at det er tilfældet i Region Midtjylland, men tendensen er, at sikkerhed mod medarbejderne ofte stopper ved awareness, træning, phishing og spørgeskemaer.

Det betyder, at man ofte kun opsamler, når medarbejderne gør noget galt, og hvor godt de kender politikken. Man finder ikke ud af, hvordan de reelt opfører sig i forhold til it-sikkerhed og hvorfor.

Jeg hørte for nyligt om en it-chef, der var taget ud sammen med virksomhedens teknikere for at se, hvordan sikkerhedspolitikken passede ind i deres hverdag. Her erfarede it-chefen, at teknikerne startede hver dag med at slå en masse sikkerhedsmekanismer fra og dermed bryde politikken.

Da han spurgte, hvorfor de gjorde det, kom det frem, at sikkerheden simpelthen stod i vejen for, at de kunne udføre deres arbejde på den tid, de havde. Det var en nødvendig foranstaltning for, at de kunne få deres arbejdsdag til at fungere.

Det var derfor ikke nødvendigvis et spørgsmål om, hvorvidt de kendte sikkerhedspolitikken, og derfor ville en quiz/spørgeskema, der tester viden om denne heller ikke have hjulpet, da den ville sige meget lidt om praksis.

Da eksemplet ikke har noget med e-mail at gøre, hjælper phishing-kampagner heller ikke. Man bliver altså nødt til at bruge tid på at forstå medarbejderne.

Hvordan er det i jeres virksomhed? Tager jeres it-sikkerhedspolitik udgangspunkt i medarbejdernes hverdag? Eller er den lavet uden at se på de forskellige typer af medarbejdere, I har ansat og deres arbejdsgange?

Man bliver nødt til at se på arbejdsgange, processer og politikker. Man skal være åben overfor, at lavere krav til sikkerheden kan give en bedre reel sikkerhed. Hellere have realistiske krav, der bliver overholdt end høje krav, der ikke gør.

Hvad med kerneydelsen?

Ovenstående er et godt eksempel på, hvordan medarbejderne nogle gange bevidst bryder it-sikkerhedspolitikken for at kunne løse deres arbejde tilfredsstillende. Det er en konsekvens af, at der ikke bliver arbejdet seriøst nok med, hvordan it-sikkerheden passer ind i medarbejdernes hverdag.

Der stilles ofte krav, som besværliggør arbejdet. Man glemmer den menneskelige faktor. Ansatte gør det, der virker for dem for at udføre det arbejde, de er sat til.

De færreste er ansat til at udføre sikkerhed. De bryder altså ikke nødvendigvis sikkerhedsprocedurerne, fordi de er dumme, ligeglade eller mangler viden.

De gør det, fordi sikkerhedspolitikken står i vejen for, at de kan udføre deres arbejde tilfredsstillende. Man bliver derfor nødt til at tænke sikkerhed ind i sine KPI’er.

Man kan ikke forvente, at man kan indføre komplekse sikkerhedsprocedurer og have præcis samme effektivitet som uden disse procedurer. God sikkerhed kan tage tid, og det skal italesættes, at den ekstra indsats, der måtte ligge i det, kan gå ud over effektiviteten, og at det er ok. Den gode medarbejder vil ofte prioritere at udføre kerneopgaven end overholde sikkerhedspolitikken.

Forestil jer, at I skal tilgå 20 forskellige systemer hver time, hvert med deres 30 tegn lange, komplekse og unikke password. Hvis der ikke er et fornuftigt værktøj til stede, vil der hurtigt opstå uhensigtsmæssigheder som for eksempel dårlige passwords, der er nemme at huske, samme password i alle systemer eller en post-it under skærmen med alle passwords på.

Bedre it-sikkerhed

Man skal se på, om der er ting i it-sikkerheden, der står i vejen for at medarbejderne kan udføre deres arbejde tilfredsstillende. Undersøg, om der er menneskelige faktorer, der spænder ben for it-sikkerheden, og skab et overblik over de områder, hvor det er nødvendigt med en form for ændring.

Hvis man stiller mere realistiske krav, er der større chance for at medarbejderne overholder dem.

Det er ikke vejen frem at blive ved med at fortælle dem, at de skal gøre noget, som forhindrer dem i deres arbejde. Det handler om at tænke det menneskelige aspekt ind. Det er først, når man gør det, at man får en god it-sikkerhed.

Annonce
Annonce
Forsiden netop nu
Kultur

To gange L.O.C. på hjemmebane

Læserbrev

Læserbrev: Ligestillingsministeren skylder stadig svar

Det glæder mig, at mit indlæg (4. november, red.) om regeringens sløvsind på ligestillingsområdet nåede frem til rette vedkommende. Ligestillingsministerens modsvar (8. november, red.) lader dog noget tilbage at ønske, så jeg håber, han læser med endnu en gang. Mogens Jensen forstår mig helt rigtigt, når han tager mig til indtægt for, at ligestillingen ikke halter i Danmark. Faktisk er Danmark det næstmest lige land i EU, kun, overgået af Sverige, ifølge en ny undersøgelse fra EU’s ligestillingsinstitut. Senest har Megafon også bedt danskerne tage stilling til, om kampen for ligestilling mellem kønnene er gået for vidt. Når 43 procent af de adspurgte erklærer sig enige i det udsagn, fortæller det mig, at danskerne generelt oplever en høj grad af lighed. Det kan Mogens Jensen jo tage med, før han taler ligestillingen længere ned, end virkeligheden tillader. Selv om det generelt går godt med ligestillingen i Danmark, mener jeg stadig, der er plads til forbedring. Det ville Mogens Jensen også vide, hvis han læste, hvad jeg skrev. Meget belejligt undlader ministeren fuldstændig at forholde sig til mine tre eksempler på steder, hvor ligestillingen er udfordret. Ligestillingsministeren skylder stadig et svar på, hvad han vil gøre for at hjælpe de mange kvinder i visse etniske minoritetsmiljøer, som lever i social kontrol uden frihed til at bestemme selv. Når Mogens Jensen undlader at forholde sig til en af vor tids største ligestillingsudfordringer, er det så, fordi han ikke har nogen svar på at løse problemstillingen? I så fald vil jeg opfordre ham til at komme i gang med arbejdet. Jeg mangler også Mogens Jensens svar på, hvordan han vil hjælpe de prostituerede, som ikke ønsker at forlade miljøet, men som i stedet ønsker rettigheder svarende til deres pligter. Hykleriet skriger jo til himlen, når socialdemokraterne med den ene hånd tager imod skattebetaling fra de prostituerede og med den anden hånd peger stigmatiserende på dem. På trods af uenigheden vil jeg rose Mogens Jensen for at afsætte midler til en undersøgelse af internetfora, hvor navnlig unge mænd opildner hinanden til diskrimination og seksuelle krænkelser mod kvinder. Det hører ingen steder hjemme, og det vil jeg gerne rose ministeren for at reagere på. Når det er sagt, savner jeg stadig Socialdemokraternes reflekterede bud på at løse nogle af vor tids største ligestillingsudfordringer. Det gælder ikke mindst i landets ghettoområder, hvor ligestilling langt fra er normen. Jeg er med på, at socialdemokraterne tror, de kan løse problemerne ved at bruge flere penge, men er det virkelig Mogens Jensens alvor at løse de store sociale udfordringer med et kursus og en kampagne til 600.000 kroner? Endelig vil jeg gerne opfordre ministeren til at tale ligestillingen op i stedet for ned. Det er muligt, at ligestillingen halter i Mogens Jensens hoved, men det generelle billede viser Danmark som et af verdens bedste lande, når det kommer til rettigheder og muligheder for alle mennesker.

Annonce