Søg

Viden er ikke nok til at få medarbejdere til at agere sikkert: Her er mine bud på måder til at få de ansatte til at gøre de rigtige ting

Klumme: Security awareness er et af de vigtigste spørgsmål, som man som sikkerhedsansvarlig kan beskæftige sig med. Her er nogle gode muligheder til at få budskabet igennem for enhver it-sikkerhedsansvarlig.

18. oktober 2018 kl. 12.25
Artikel top billede

(Foto: NicoElNino / NicoElNino)

Shehzad Ahmad Shehzad Ahmad Head of it security, IF

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Hvornår har din kollega sidst taget backup af sin private computer?
For halvdelen af danskerne vil svaret være aldrig.

Ved de da ikke, at det er vigtigt at tage sikkerhedskopi? At de risikerer at miste feriebilleder og dokumenter ved et nedbrud eller angreb med ransomware.

Jo, de ved det godt. Men viden er ikke altid nok.

Det handler om det, vi kalder security awareness. Altså opmærksomhed om, hvordan vi holder os sikre.

Det er efter min mening et af de vigtigste spørgsmål, man som sikkerhedsansvarlig kan beskæftige sig med. Vi må bibringe medarbejderne en forståelse af, hvilke konsekvenser for sikkerheden deres handlinger kan få.

Vi kan installere nok så mange firewalls, IDS’er og antivirussystemer. Men hvis medarbejderne klikker på links i e-mails, de får tilsendt uopfordret, er vi lige vidt.

Fra viden til handling

Eksemplet med den manglende sikkerhedskopi viser, hvor noget af udfordringen ligger: At nå fra viden til handling.

Viden er stadig et vigtigt første skridt: Medarbejderne skal vide, hvorfor det er vigtigt, at de agerer sikkert.

Næste skridt er at ændre deres adfærd: De skal rent faktisk agere sikkert.

Vi kender udfordringen fra andre områder. For eksmepel er ingen i dag i tvivl om, at det er sundhedsskadeligt at ryge. Også rygerne er klar over det.
Så de har den nødvendige viden.

Men nogle af dem agerer ikke ud fra deres viden og dropper smøgerne.

Spil på følelserne

Jeg tror, der er flere veje frem. En af dem er at kombinere viden med følelser.

For eksempel skal medarbejderen føle i sin mave, hvor ondt det ville gøre at miste barndomsbillederne af børnene. Så er der et følelsesmæssigt incitament til at få taget den backup.

Her spiller vi på angsten for at miste noget.

Men vi kan også bruge positive følelser: Glæden ved at gøre noget godt.

Her kan vi udnytte, at vi mennesker er flokdyr. Vi vil gerne gøre det samme som de andre.

Undersøgelser viser, at halvdelen af danskerne ikke tager backup af deres private data.

Hvad nu hvis tallet kun var 15 procent? Så kunne vi sige ”85 procent af danskerne tager jævnligt sikkerhedskopi af deres data – hvad med dig?” Det er det, man kalder social bevisførelse.

Et vigtigt element her er, at vi kan lide at sammenligne os med vores ligemænd. Derfor virker social bevisførelse endnu bedre inden for et lokalområde – geografisk eller på en arbejdsplads.

”90 procent af dine kolleger klikker aldrig på et link i en mail uden først at tjekke, hvor det fører hen.”

Hvordan vil sådan en sætning virke på dine medarbejdere?

Glæden ved at vinde

En anden følelse vi kan spille på, er glæden ved at vinde over andre.

Det udnytter nogle systemer til at bekæmpe phishing. Her handler det om at lære medarbejderne at genkende en mail, der forsøger at lokke dem ind på falske websteder.

Systemet sender løbende phishingmails til medarbejderne. Det er ikke ægte phishingmails, men de ligner.

Hver mail indeholder eksempler på typiske træk ved phishing: Forfalskede afsenderadresser, links til forfalskede websteder, og trusler om konsekvenser, hvis man ikke reagerer med det samme.

Hvis medarbejderen gennemskuer, at der er tale om phishing, klikker han eller hun på en knap i mailprogrammet for at rapportere den.

Klikket fører til en portal, hvor medarbejderen får ros for ikke at være faldet for svindlen. Her udnytter systemet en positiv følelse: Vi kan alle godt lide at få at vide, at vi har gjort noget godt.

Men medarbejderen får også point for indsatsen.

Jo flere falske phishingmails, medarbejderen gennemskuer, desto flere point bliver der tildelt. På portalen kan medarbejderne følge hinandens pointstilling.

Dermed bliver det en konkurrence om at være bedst til at gennemskue svindel.

Så fra at være en kedelig ting, man skal huske i en travl hverdag, bliver opmærksomhed på phishing en sjov udfordring, hvor man kappes med kollegerne.

Vil du lege med?

Phishingsystemet bruger det, vi kalder gamification: Det udnytter vores glæde ved at lege og spille til at øge sikkerheden.

Jeg tror, gamification er en vej frem mod bedre awareness. Hvilke forslag har du?

I denne klummes ånd vil jeg udbyde en æske god chokolade til den Computerworld-læser, der sender mig det bedste forslag til at øge awareness. Skriv i kommentarfeltet herunder – og se, om du kan slå dine kolleger!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvaret

    Multimediekoordinator til Hærens Sergentskole i Varde

    Sydjylland

    Netcompany A/S

    Test Consultant

    Midtjylland

    TV2

    Process Owner med speciale i IT Service Management

    Fyn

    Forsvaret

    Souschef til C2-softwaresektionen hos Forsvarsministeriets Materiel- og Indkøbsstyrelse (FMI)

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Sikkerhed | Aarhus C

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Tanja Schmidt Larsen, Director, Legal & Compliance hos Sentia A/S, er pr. 1. december 2025 forfremmet til Chief Operations Officer (COO). Hun skal fremover især beskæftige sig med synergi mellem kommercielle og tekniske processer samt sikre en sammenhængende kunderejse og fortsat driftsstabilitet. Forfremmelse

    Tanja Schmidt Larsen

    Sentia A/S

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Huy Duc Nguyen som Developer ERP. Han skal især beskæftige sig med at bidrage til at udvikle, bygge og skræddersy IT-løsninger, der skaber vækst og succes i vores kunders forretninger. Han kommer fra en stilling som Software Developer hos Navtilus. Han er uddannet i bioteknologi på Aalborg University. Nyt job

    Huy Duc Nguyen

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Niels Bjørndal Nygaard som Digital Product Lead. Han skal især beskæftige sig med designe og implementere effektive IT-løsninger. Han har tidligere beskæftiget sig med at være digital consultant og project Manager hos Peytz & Co. Nyt job

    Niels Bjørndal Nygaard

    Norriq Danmark A/S

    Netip A/S har pr. 1. november 2025 ansat Christian Homann som Projektleder ved netIP's kontor i Thisted. Han kommer fra en stilling som Digitaliseringschef hos EUC Nordvest. Han er uddannet med en Cand.it og har en del års erfaring med projektledelse. Nyt job

    Christian Homann

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Microsoft vil aflive stort antal løsninger i 2026: Disse løsninger skal du sige farvel til
    2 Apples vilde planer for 2026: Her er de banebrydende produkter, som vi venter på
    3 Guldregn på vej i 2026: Tre gigantiske it-børsnoteringer er lige nu i støbeskeen
    4 Ny forening vil have alle danskere til at droppe tech-giganterne samtidig - sker på denne dato i marts
    5 Årets 10 mest populære Computerworld-artikler: Her er historierne, der for alvor hittede
    6 En af verdens vildeste it-stillinger: Bliver CIO for over to millioner ansatte
    7 Stod bag dansk milliard-app: Nu kaster han sig over et nyt projekt
    8 Apples Vision Pro skulle have været Tim Cooks store glansnummer - men nye tal peger på, at det har været et kæmpe flop

    Se seneste uge