Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2019 // Sådan øger I chancen for en succesfuld it-sikkerhedspolitik

Sådan øger I chancen for en succesfuld it-sikkerhedspolitik

Artikel

09-09-2019

Sådan øger I chancen for en succesfuld it-sikkerhedspolitik

Virksomheder bør se på, om der er ting i it-sikkerheden, der står i vejen for, at deres medarbejdere kan udføre deres arbejde tilfredsstillende. Og undersøge om der er menneskelige faktorer, der spænder ben for it-sikkerheden.

Ved at gøre det kan man opnå en bedre it-sikkerhed, lyder det fra it-sikkerhedsekspert Mads Schaarup Andersen fra Alexandra Instituttet, der i en artikel i Århus Stiftstidende forklarer, hvordan man kommer i gang med bedre medarbejderrettet it-sikkerhed.

Vi har siden forberedelserne til persondataforordningen gik i gang set, at virksomhederne i stigende grad udvikler og kører awareness-kampagner.

Formålet med disse kampagner er at øge medarbejdernes viden om it-sikkerhedsmæssige faldgrupper og dermed styrke it-sikkerheden.

Sideløbende med disse kampagner køres der ofte phishing-kampagner, hvor man sender phishing-mails ud for at se, hvor mange der falder i. Det så vi, da Region Midtjylland før sommerferien udsendte en mail til 1200 tilfældigt udvalgte medarbejdere i regionen. I mailen blev de bedt om at skifte adgangskode ved at følge et link. Og hele 42 procent faldt intetanende i.

Det tal er selvfølgelig alt for højt, da det udgør en risiko. Det er derfor en god idé at gøre medarbejderne mere bevidste om deres e-mailadfærd.

En phishing-kampagne kan sammen med en awareness-kampagne fint indgå i et større forløb for at forbedre it-sikkerheden.

Det er dog vigtigt at få en lidt dybere forståelse for, hvorfor folk klikker på disse e-mails og tænke medarbejderrettet it-sikkerhed bredere. Det får man kun ved at lave en analyse af, hvordan medarbejdernes arbejdsgange og procedurer passer ind i virksomhedens it-sikkerhedspolitik.

Medarbejderne skal med

Ofte gribes it-sikkerhed an uden at involvere medarbejderne i tilstrækkelig grad. Det er dog ikke sikkert, at det er tilfældet i Region Midtjylland, men tendensen er, at sikkerhed mod medarbejderne ofte stopper ved awareness, træning, phishing og spørgeskemaer.

Det betyder, at man ofte kun opsamler, når medarbejderne gør noget galt, og hvor godt de kender politikken. Man finder ikke ud af, hvordan de reelt opfører sig i forhold til it-sikkerhed og hvorfor.

Jeg hørte for nyligt om en it-chef, der var taget ud sammen med virksomhedens teknikere for at se, hvordan sikkerhedspolitikken passede ind i deres hverdag. Her erfarede it-chefen, at teknikerne startede hver dag med at slå en masse sikkerhedsmekanismer fra og dermed bryde politikken.

Da han spurgte, hvorfor de gjorde det, kom det frem, at sikkerheden simpelthen stod i vejen for, at de kunne udføre deres arbejde på den tid, de havde. Det var en nødvendig foranstaltning for, at de kunne få deres arbejdsdag til at fungere.

Det var derfor ikke nødvendigvis et spørgsmål om, hvorvidt de kendte sikkerhedspolitikken, og derfor ville en quiz/spørgeskema, der tester viden om denne heller ikke have hjulpet, da den ville sige meget lidt om praksis.

Da eksemplet ikke har noget med e-mail at gøre, hjælper phishing-kampagner heller ikke. Man bliver altså nødt til at bruge tid på at forstå medarbejderne.

Hvordan er det i jeres virksomhed? Tager jeres it-sikkerhedspolitik udgangspunkt i medarbejdernes hverdag? Eller er den lavet uden at se på de forskellige typer af medarbejdere, I har ansat og deres arbejdsgange?

Man bliver nødt til at se på arbejdsgange, processer og politikker. Man skal være åben overfor, at lavere krav til sikkerheden kan give en bedre reel sikkerhed. Hellere have realistiske krav, der bliver overholdt end høje krav, der ikke gør.

Hvad med kerneydelsen?

Ovenstående er et godt eksempel på, hvordan medarbejderne nogle gange bevidst bryder it-sikkerhedspolitikken for at kunne løse deres arbejde tilfredsstillende. Det er en konsekvens af, at der ikke bliver arbejdet seriøst nok med, hvordan it-sikkerheden passer ind i medarbejdernes hverdag.

Der stilles ofte krav, som besværliggør arbejdet. Man glemmer den menneskelige faktor. Ansatte gør det, der virker for dem for at udføre det arbejde, de er sat til.

De færreste er ansat til at udføre sikkerhed. De bryder altså ikke nødvendigvis sikkerhedsprocedurerne, fordi de er dumme, ligeglade eller mangler viden.

De gør det, fordi sikkerhedspolitikken står i vejen for, at de kan udføre deres arbejde tilfredsstillende. Man bliver derfor nødt til at tænke sikkerhed ind i sine KPI'er.

Man kan ikke forvente, at man kan indføre komplekse sikkerhedsprocedurer og have præcis samme effektivitet som uden disse procedurer. God sikkerhed kan tage tid, og det skal italesættes, at den ekstra indsats, der måtte ligge i det, kan gå ud over effektiviteten, og at det er ok. Den gode medarbejder vil ofte prioritere at udføre kerneopgaven end overholde sikkerhedspolitikken.

Forestil jer, at I skal tilgå 20 forskellige systemer hver time, hvert med deres 30 tegn lange, komplekse og unikke password. Hvis der ikke er et fornuftigt værktøj til stede, vil der hurtigt opstå uhensigtsmæssigheder som for eksempel dårlige passwords, der er nemme at huske, samme password i alle systemer eller en post-it under skærmen med alle passwords på.

Bedre it-sikkerhed

Man skal se på, om der er ting i it-sikkerheden, der står i vejen for at medarbejderne kan udføre deres arbejde tilfredsstillende. Undersøg, om der er menneskelige faktorer, der spænder ben for it-sikkerheden, og skab et overblik over de områder, hvor det er nødvendigt med en form for ændring.

Hvis man stiller mere realistiske krav, er der større chance for at medarbejderne overholder dem.

Det er ikke vejen frem at blive ved med at fortælle dem, at de skal gøre noget, som forhindrer dem i deres arbejde. Det handler om at tænke det menneskelige aspekt ind. Det er først, når man gør det, at man får en god it-sikkerhed.

 

Profilbillede af Mads Schaarup Andersen
Senior Usable Security Expert, PhD
+45 93 50 84 40
Åbogade 34, 8200 Aarhus N
Nygaard bygningen, 3. etage lokale 375
.