Artikel top billede

Pas nu på - er du mon en trussel mod din arbejdsplads?

Klumme: Hvem skal stå for uddannelsen i sikkerhed?

På vej til job kommer du i tanker om, at du skulle have morgenbrød med i dag.

Du kaster bilen ind foran den første bager, du kommer forbi, springer ud, undgår lige at blive ramt af en cykel, og løber ind og køber brød.

I den ulåste bil ligger din laptop i sin lædertaske på bagsædet.

Er dette dig? Så udgør du sandsynligvis en trussel for informationssikkerheden på din arbejdsplads.

Når du ikke låser bilen, foretager du en lynhurtig risikovurdering:

Der er en risiko for, at bilen eller pc'en i den bliver stjålet.

Men da du regner med at være hurtigt tilbage, anslår du risikoen for at være så lille, at du roligt kan droppe besværet med at finde nøglerne frem.

Dermed viser du også, at du har den grundlæggende holdning, at det er OK at nedprioritere sikkerhede, og det er derfor, jeg siger, at du udgør en potentiel trussel mod sikkerheden.

Det vigtigste element i enhver sikkerhedspolitik er det menneskelige:

Vi kan indføre nok så mange tekniske og procesmæssige foranstaltninger, men hvis medarbejderne ikke følger reglerne, hjælper det ikke noget.

Klikker du?

Et angreb kan være rettet direkte mod jeres virksomhed. Angriberne samler viden om jer fra nettet. Derefter sender de dig en e-mail, der foregiver at komme fra en navngiven medarbejder i virksomheden, for eksempel i bogholderiet.

Mailen beder dig tjekke, at rejseudgifterne i det vedlagte PDF-dokument er korrekte.

Hvordan reagerer du?

Sandsynligvis åbner du PDF'en. Hvis din virksomhed har styr på opdateringerne, kan historien stoppe her:

PDF'en prøver at udnytte en sårbarhed i Adobe Reader, men du kører nyeste version, hvor sårbarheden er fjernet.

Bruger du derimod en sårbar Reader, bliver pc'en inficeret.

Her er det kombinationen af en sårbar teknologi og en uheldig indstilling hos medarbejderen, der kompromitterer sikkerheden.

Hvis du havde haft en mere skeptisk indstilling, ville du måske lige ringe til kollegaen i bogholderiet for at høre, om det nu også kunne passe.

De tre mål

Denne udfordring har alle danske virksomheder: Hvordan lærer vi medarbejderne sikker adfærd?

Et udbredt middel er awareness-kampagner.

Via eksempler og konkrete opgaver lærer man medarbejderne, hvilke trusler der findes, og hvordan de kan beskytte sig mod dem.

Inden for uddannelse taler vi traditionelt om tre forskellige mål med undervisningen: Man kan bibringe eleverne en viden.

Man kan lære dem færdigheder - hvordan de gør noget bestemt. Eller man kan ændre deres holdning.

Sværhedsgraden stiger for hvert mål. Det sidste er langt det sværeste.

Uddannelse i sikkerheden skal omfatte alle tre mål:

Medarbejderne skal få viden om trusselstyper.

De skal oplæres i færdigheder: Hvordan genkender de en phishing-mail?

Hvordan skelnes en falsk virusadvarsel fra en ægte?

Og endelig skal deres holdning til sikkerhed skærpes: De skal overbevises om, at det er rigtigt at overholde sikkerhedspolitikken, selvom det kan gøre hverdagen mere besværlig.

Kræver menneskekendskab

Til at videregive viden om aktuelle trusler kan en it-medarbejder med speciale i sikkerhed måske være egnet.

Men når det gælder bearbejdelse af holdninger, er en tekniker som regel det forkerte valg. Det handler om psykologi og menneskekendskab.

Jeg anbefaler, at man allierer sig med medarbejdere fra HR-afdelingen. Alternativt kan man søge efter en ekstern konsulent med erfaring i holdningsbearbejdelse.

Husk også, at det ikke er nok at undervise de nyansatte.

Alle medarbejdere skal løbende holdes opdateret med ny viden.

Og deres holdninger har helt sikkert også godt af at blive genopfrisket.

I en travl hverdag glemmer vi let sikkerheden til fordel for bekvemmeligheden.

Kultur fra top til bund

Informationssikkerhed er i høj grad et spørgsmål om kultur.

Hvis hensyn til sikkerheden er indarbejdet i kulturen, falder det medarbejderne naturligt at opføre sig sikkert.

Derfor skal både topledelse og mellemledere opføre sig forbilledligt, når det gælder sikkerhed.

Hvis medarbejderne mærker, at deres chefer ikke tager sikkerheden alvorligt, gør de det heller ikke selv.

Så uddannelsen skal ikke kun være rettet mod de menige medarbejdere.

Den skal omfatte alle fra piccolinen til den administrerende direktør.

De er lige vigtige, når det gælder om at beskytte virksomhedens informationer.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til NIS2 - indhold, krav og konsekvenser

På dagen vil du både få et koncentreret, fokuseret overblik over de juridiske aspekter og de krav, du vil skulle leve op til. Du går også hjem med praktisk viden fra eksperter, der arbejder med NIS2-compliance på både det tekniske og organisatoriske niveau.

28. februar 2024 | Læs mere


Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Vi dykker ned i, hvordan du finder den perfekte pasform for netop din virksomhed. Vi ser på, hvordan du kan imødekomme jeres behov for fleksibilitet og hurtig udvikling, samtidig med at håndtere udfordringerne ved cloud-tjenester.

29. februar 2024 | Læs mere


Faldgruber og forberedelser når du skal implementere Dynamics 365 FO

På dette webinar stiller vir skarpt på overvejelser, forberedelser, forretning og faldgruber, så din virksomhed får det bedste udgangspunkt for jeres Dynamics 365-implementering. Du bliver også klogere på at håndtere master data, som er et af de absolut vigtigste områder i ethvert ERP-projekt, og på hvorfor Dynamics 365 FO er en del af et samlet cloud-transformationsprojekt.

29. februar 2024 | Læs mere