Søg

Viden er ikke nok til at få medarbejdere til at agere sikkert: Her er mine bud på måder til at få de ansatte til at gøre de rigtige ting

Klumme: Security awareness er et af de vigtigste spørgsmål, som man som sikkerhedsansvarlig kan beskæftige sig med. Her er nogle gode muligheder til at få budskabet igennem for enhver it-sikkerhedsansvarlig.

18. oktober 2018 kl. 12.25
Artikel top billede

(Foto: NicoElNino / NicoElNino)

Shehzad Ahmad Shehzad Ahmad Head of it security, IF

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Hvornår har din kollega sidst taget backup af sin private computer?
For halvdelen af danskerne vil svaret være aldrig.

Ved de da ikke, at det er vigtigt at tage sikkerhedskopi? At de risikerer at miste feriebilleder og dokumenter ved et nedbrud eller angreb med ransomware.

Jo, de ved det godt. Men viden er ikke altid nok.

Det handler om det, vi kalder security awareness. Altså opmærksomhed om, hvordan vi holder os sikre.

Det er efter min mening et af de vigtigste spørgsmål, man som sikkerhedsansvarlig kan beskæftige sig med. Vi må bibringe medarbejderne en forståelse af, hvilke konsekvenser for sikkerheden deres handlinger kan få.

Vi kan installere nok så mange firewalls, IDS’er og antivirussystemer. Men hvis medarbejderne klikker på links i e-mails, de får tilsendt uopfordret, er vi lige vidt.

Fra viden til handling

Eksemplet med den manglende sikkerhedskopi viser, hvor noget af udfordringen ligger: At nå fra viden til handling.

Viden er stadig et vigtigt første skridt: Medarbejderne skal vide, hvorfor det er vigtigt, at de agerer sikkert.

Næste skridt er at ændre deres adfærd: De skal rent faktisk agere sikkert.

Vi kender udfordringen fra andre områder. For eksmepel er ingen i dag i tvivl om, at det er sundhedsskadeligt at ryge. Også rygerne er klar over det.
Så de har den nødvendige viden.

Men nogle af dem agerer ikke ud fra deres viden og dropper smøgerne.

Spil på følelserne

Jeg tror, der er flere veje frem. En af dem er at kombinere viden med følelser.

For eksempel skal medarbejderen føle i sin mave, hvor ondt det ville gøre at miste barndomsbillederne af børnene. Så er der et følelsesmæssigt incitament til at få taget den backup.

Her spiller vi på angsten for at miste noget.

Men vi kan også bruge positive følelser: Glæden ved at gøre noget godt.

Her kan vi udnytte, at vi mennesker er flokdyr. Vi vil gerne gøre det samme som de andre.

Undersøgelser viser, at halvdelen af danskerne ikke tager backup af deres private data.

Hvad nu hvis tallet kun var 15 procent? Så kunne vi sige ”85 procent af danskerne tager jævnligt sikkerhedskopi af deres data – hvad med dig?” Det er det, man kalder social bevisførelse.

Et vigtigt element her er, at vi kan lide at sammenligne os med vores ligemænd. Derfor virker social bevisførelse endnu bedre inden for et lokalområde – geografisk eller på en arbejdsplads.

”90 procent af dine kolleger klikker aldrig på et link i en mail uden først at tjekke, hvor det fører hen.”

Hvordan vil sådan en sætning virke på dine medarbejdere?

Glæden ved at vinde

En anden følelse vi kan spille på, er glæden ved at vinde over andre.

Det udnytter nogle systemer til at bekæmpe phishing. Her handler det om at lære medarbejderne at genkende en mail, der forsøger at lokke dem ind på falske websteder.

Systemet sender løbende phishingmails til medarbejderne. Det er ikke ægte phishingmails, men de ligner.

Hver mail indeholder eksempler på typiske træk ved phishing: Forfalskede afsenderadresser, links til forfalskede websteder, og trusler om konsekvenser, hvis man ikke reagerer med det samme.

Hvis medarbejderen gennemskuer, at der er tale om phishing, klikker han eller hun på en knap i mailprogrammet for at rapportere den.

Klikket fører til en portal, hvor medarbejderen får ros for ikke at være faldet for svindlen. Her udnytter systemet en positiv følelse: Vi kan alle godt lide at få at vide, at vi har gjort noget godt.

Men medarbejderen får også point for indsatsen.

Jo flere falske phishingmails, medarbejderen gennemskuer, desto flere point bliver der tildelt. På portalen kan medarbejderne følge hinandens pointstilling.

Dermed bliver det en konkurrence om at være bedst til at gennemskue svindel.

Så fra at være en kedelig ting, man skal huske i en travl hverdag, bliver opmærksomhed på phishing en sjov udfordring, hvor man kappes med kollegerne.

Vil du lege med?

Phishingsystemet bruger det, vi kalder gamification: Det udnytter vores glæde ved at lege og spille til at øge sikkerheden.

Jeg tror, gamification er en vej frem mod bedre awareness. Hvilke forslag har du?

I denne klummes ånd vil jeg udbyde en æske god chokolade til den Computerworld-læser, der sender mig det bedste forslag til at øge awareness. Skriv i kommentarfeltet herunder – og se, om du kan slå dine kolleger!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Microsoft Operations Engineer

    Nordjylland

    Danoffice IT

    Infrastructure Specialist

    Midtjylland

    Timengo DPG

    Teknisk Konsulent til vores Service Center

    Københavnsområdet

    Digitaliseringsstyrelsen

    Teknisk systemforvalter til Digitaliseringsstyrelsens EU-gateway-løsninger

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Cyber Threats

    Sikkerhed | København

    Cyber Threats

    Få teknisk indsigt og konkrete løsninger til at modstå moderne cyberangreb. Lær af fejl, stop angreb i tide og byg systemer med ægte resiliens. Fokus på lavniveau-detektion, netværksovervågning og hurtig gendannelse. Deltag i Cyber Threats fra...

    Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Platform X 2026: Forretning, teknologi og transformation

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    Årets CIO 2026

    Andre events | Kongens Lyngby

    Årets CIO 2026

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Immeo har pr. 1. maj 2026 ansat Peter Lorenz Nellemann som Senior Manager. Han kommer fra en stilling som Senior Strategy Manager hos Pentia. Han er uddannet i Software Engineering. Nyt job

    Peter Lorenz Nellemann

    Immeo

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job

    Louise Sara Baunsgaard

    Guardsix

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år, som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Se mere fra navnenyt

    Mest læste

    1 Test: Bærbar ekstra skærm til din laptop, smartphone eller spillekonsol er et fedt ekstra værktøj
    2 KMD siger farvel til 180 medarbejdere - her er årsagen
    3 Pludselig er de datalogi-studerendes karakterer raslet ned: ”AI-assistenterne afslører en svaghed i universitetssystemet"
    4 Nørgaard: Datacentre, dommedag og den evige danske lyst til at sige nej
    5 Produktionsgigant bekræfter hackerangreb: 11 millioner fortrolige filer fra Apple- og Nvidia kan være stjålet
    6 Din gamle pc er blevet guld værd: Værdien på brugt it-udstyr brager i vejret
    7 KMD-aftale sender Aevens omsætning op mod to milliarder kroner – men underskud og gæld eksploderer
    8 Microsoft vil selv fjerne dårlige drivere fra din pc: Ny funktion skal stoppe crashes og blue screens

    Se seneste uge