Alexandra Instituttet A/S // Aktuelt // Nyheder // 2019 // Er ledelsen den største trussel mod it-sikkerheden?

Er ledelsen den største trussel mod it-sikkerheden?

Artikel

29-01-2019

Er ledelsen den største trussel mod it-sikkerheden?

Vi hører ofte, at medarbejderne er den største trussel mod virksomhedernes it-sikkerhed. Men det er en fejl at se det på den måde, da det lægger fokus på medarbejderen som et problem, der skal fixes.

Faktisk er det ofte hos ledelsen, den er gal, fordi de simpelthen ikke prioriterer eller sætter ressourcer nok af til at arbejde med it-sikkerhed, herunder hvordan it-sikkerheden passer ind i medarbejdernes hverdag. Der bliver ofte stillet for urimelige krav. Konsekvensen er, at medarbejderne ikke lever op til it-sikkerheden og derfor vælger at omgå sikkerhedspolitikken for at kunne udføre deres arbejde.

Problemet er, at man ikke tager højde for, at sikkerhed tager tid og går fra medarbejdernes primære arbejdsopgaver. Man glemmer at tage den menneskelige faktor seriøst. Medarbejdere gør det, der virker for dem. De fleste bryder ikke sikkerhedsprocedurerne, fordi de er ligeglade. De gør det, fordi sikkerhedspolitikken står i vejen for, at de kan udføre deres arbejde tilfredsstillende.

Arrangement i Aarhus den 26. februar: Gør dine medarbejdere it-sikre
It-sikkerhedsekspert Mads Schaarup Andersen og antropolog Laura Lynggaard Nielsen fra Alexandra Instituttet fortæller om, hvordan du som virksomhed opnår bedre it-sikkerhed med afsæt i brugerne. Arrangementet afholdes af IDA Lederforum Midt/Vest. Læs mere her.

 

  • Tænk på en sygeplejerske, der skal betjene mange forskellige terminaler i løbet af en dag. Det bliver til mange minutter hver dag, hvis han skal logge ind og ud med to-faktor autentifikation hver gang. Det går ud over kerneydelsen, og derfor vil mange vægte arbejdet med at tage sig af patienterne højere end at overholde sikkerhedspolitikken.
     
  • Et andet eksempel er, hvis man har en politik, der siger, at medarbejderne ikke må bruge Dropbox. Men hvis det samtidig er den eneste måde, man deler data med samarbejdspartnere, så stiller man medarbejderne i et dilemma. Skal de overholde politikken eller potentielt miste en samarbejdspartner? Har man omvendt en politik for, hvordan man håndterer afvigelser fra sikkerhedspolitikken, så kan det være med til at minimere risikoen.

Det ser rigtig godt ud på papiret at have en striks sikkerhedspolitik, men det kan også have nogle uheldige konsekvenser. Det kan bl.a. føre til skygge-it, altså anvendelse af it-systemer og værktøjer, der ikke er sanktioneret af virksomheden. Det giver dårligere sikkerhed, da man ikke er opmærksomhed på disse. Stiller man omvendt mere lempelige og realistiske krav, er der større chance for, at medarbejderne overholder dem. Dermed får man en bedre sikkerhed i den sidste ende til trods for en – på papiret – mindre striks sikkerhedspolitik.

Det handler derfor ikke kun om, at medarbejderne skal overholde bestemte procedurer. Man skal i langt højere grad se på, hvordan man inddrager medarbejderne og tænker deres arbejdsopgaver ind. Generelt bør basal menneskelig opførsel fylde meget mere i den måde, man tænker it-sikkerhed i organisationer og virksomheder.

Det skal komme nedefra, og man skal forstå, hvad det er for en virkelighed, som medarbejderne står i. Man skal inddrage dem og forstå, hvad det er for nogle udfordringer, de står med i forhold til gældende sikkerhedsprocedurer, når de udfører deres arbejde. Det med at blive ved med at fortælle dem, at de skal gøre noget, som forhindrer dem i deres arbejde, er ikke vejen frem.

Man får først en god it-sikkerhed, når man tænker det menneskelige aspekt ind og tager det seriøst.


Artiklen har været bragt som et debatindlæg i Finans den 28. januar 2019.

Profilbillede af Mads Schaarup Andersen
Senior Usable Security Expert, PhD
+45 93 50 84 40
Åbogade 34, 8200 Aarhus N
Nygaard bygningen, 3. etage lokale 375
.