Artikel top billede

Pas nu på - er du mon en trussel mod din arbejdsplads?

Klumme: Hvem skal stå for uddannelsen i sikkerhed?

På vej til job kommer du i tanker om, at du skulle have morgenbrød med i dag.

Du kaster bilen ind foran den første bager, du kommer forbi, springer ud, undgår lige at blive ramt af en cykel, og løber ind og køber brød.

I den ulåste bil ligger din laptop i sin lædertaske på bagsædet.

Er dette dig? Så udgør du sandsynligvis en trussel for informationssikkerheden på din arbejdsplads.

Når du ikke låser bilen, foretager du en lynhurtig risikovurdering:

Der er en risiko for, at bilen eller pc'en i den bliver stjålet.

Men da du regner med at være hurtigt tilbage, anslår du risikoen for at være så lille, at du roligt kan droppe besværet med at finde nøglerne frem.

Dermed viser du også, at du har den grundlæggende holdning, at det er OK at nedprioritere sikkerhede, og det er derfor, jeg siger, at du udgør en potentiel trussel mod sikkerheden.

Det vigtigste element i enhver sikkerhedspolitik er det menneskelige:

Vi kan indføre nok så mange tekniske og procesmæssige foranstaltninger, men hvis medarbejderne ikke følger reglerne, hjælper det ikke noget.

Klikker du?

Et angreb kan være rettet direkte mod jeres virksomhed. Angriberne samler viden om jer fra nettet. Derefter sender de dig en e-mail, der foregiver at komme fra en navngiven medarbejder i virksomheden, for eksempel i bogholderiet.

Mailen beder dig tjekke, at rejseudgifterne i det vedlagte PDF-dokument er korrekte.

Hvordan reagerer du?

Sandsynligvis åbner du PDF'en. Hvis din virksomhed har styr på opdateringerne, kan historien stoppe her:

PDF'en prøver at udnytte en sårbarhed i Adobe Reader, men du kører nyeste version, hvor sårbarheden er fjernet.

Bruger du derimod en sårbar Reader, bliver pc'en inficeret.

Her er det kombinationen af en sårbar teknologi og en uheldig indstilling hos medarbejderen, der kompromitterer sikkerheden.

Hvis du havde haft en mere skeptisk indstilling, ville du måske lige ringe til kollegaen i bogholderiet for at høre, om det nu også kunne passe.

De tre mål

Denne udfordring har alle danske virksomheder: Hvordan lærer vi medarbejderne sikker adfærd?

Et udbredt middel er awareness-kampagner.

Via eksempler og konkrete opgaver lærer man medarbejderne, hvilke trusler der findes, og hvordan de kan beskytte sig mod dem.

Inden for uddannelse taler vi traditionelt om tre forskellige mål med undervisningen: Man kan bibringe eleverne en viden.

Man kan lære dem færdigheder - hvordan de gør noget bestemt. Eller man kan ændre deres holdning.

Sværhedsgraden stiger for hvert mål. Det sidste er langt det sværeste.

Uddannelse i sikkerheden skal omfatte alle tre mål:

Medarbejderne skal få viden om trusselstyper.

De skal oplæres i færdigheder: Hvordan genkender de en phishing-mail?

Hvordan skelnes en falsk virusadvarsel fra en ægte?

Og endelig skal deres holdning til sikkerhed skærpes: De skal overbevises om, at det er rigtigt at overholde sikkerhedspolitikken, selvom det kan gøre hverdagen mere besværlig.

Kræver menneskekendskab

Til at videregive viden om aktuelle trusler kan en it-medarbejder med speciale i sikkerhed måske være egnet.

Men når det gælder bearbejdelse af holdninger, er en tekniker som regel det forkerte valg. Det handler om psykologi og menneskekendskab.

Jeg anbefaler, at man allierer sig med medarbejdere fra HR-afdelingen. Alternativt kan man søge efter en ekstern konsulent med erfaring i holdningsbearbejdelse.

Husk også, at det ikke er nok at undervise de nyansatte.

Alle medarbejdere skal løbende holdes opdateret med ny viden.

Og deres holdninger har helt sikkert også godt af at blive genopfrisket.

I en travl hverdag glemmer vi let sikkerheden til fordel for bekvemmeligheden.

Kultur fra top til bund

Informationssikkerhed er i høj grad et spørgsmål om kultur.

Hvis hensyn til sikkerheden er indarbejdet i kulturen, falder det medarbejderne naturligt at opføre sig sikkert.

Derfor skal både topledelse og mellemledere opføre sig forbilledligt, når det gælder sikkerhed.

Hvis medarbejderne mærker, at deres chefer ikke tager sikkerheden alvorligt, gør de det heller ikke selv.

Så uddannelsen skal ikke kun være rettet mod de menige medarbejdere.

Den skal omfatte alle fra piccolinen til den administrerende direktør.

De er lige vigtige, når det gælder om at beskytte virksomhedens informationer.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere