Artikel top billede

(Foto: NicoElNino / NicoElNino)

Viden er ikke nok til at få medarbejdere til at agere sikkert: Her er mine bud på måder til at få de ansatte til at gøre de rigtige ting

Klumme: Security awareness er et af de vigtigste spørgsmål, som man som sikkerhedsansvarlig kan beskæftige sig med. Her er nogle gode muligheder til at få budskabet igennem for enhver it-sikkerhedsansvarlig.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Hvornår har din kollega sidst taget backup af sin private computer?
For halvdelen af danskerne vil svaret være aldrig.

Ved de da ikke, at det er vigtigt at tage sikkerhedskopi? At de risikerer at miste feriebilleder og dokumenter ved et nedbrud eller angreb med ransomware.

Jo, de ved det godt. Men viden er ikke altid nok.

Det handler om det, vi kalder security awareness. Altså opmærksomhed om, hvordan vi holder os sikre.

Det er efter min mening et af de vigtigste spørgsmål, man som sikkerhedsansvarlig kan beskæftige sig med. Vi må bibringe medarbejderne en forståelse af, hvilke konsekvenser for sikkerheden deres handlinger kan få.

Vi kan installere nok så mange firewalls, IDS’er og antivirussystemer. Men hvis medarbejderne klikker på links i e-mails, de får tilsendt uopfordret, er vi lige vidt.

Fra viden til handling

Eksemplet med den manglende sikkerhedskopi viser, hvor noget af udfordringen ligger: At nå fra viden til handling.

Viden er stadig et vigtigt første skridt: Medarbejderne skal vide, hvorfor det er vigtigt, at de agerer sikkert.

Næste skridt er at ændre deres adfærd: De skal rent faktisk agere sikkert.

Vi kender udfordringen fra andre områder. For eksmepel er ingen i dag i tvivl om, at det er sundhedsskadeligt at ryge. Også rygerne er klar over det.
Så de har den nødvendige viden.

Men nogle af dem agerer ikke ud fra deres viden og dropper smøgerne.

Spil på følelserne

Jeg tror, der er flere veje frem. En af dem er at kombinere viden med følelser.

For eksempel skal medarbejderen føle i sin mave, hvor ondt det ville gøre at miste barndomsbillederne af børnene. Så er der et følelsesmæssigt incitament til at få taget den backup.

Her spiller vi på angsten for at miste noget.

Men vi kan også bruge positive følelser: Glæden ved at gøre noget godt.

Her kan vi udnytte, at vi mennesker er flokdyr. Vi vil gerne gøre det samme som de andre.

Undersøgelser viser, at halvdelen af danskerne ikke tager backup af deres private data.

Hvad nu hvis tallet kun var 15 procent? Så kunne vi sige ”85 procent af danskerne tager jævnligt sikkerhedskopi af deres data – hvad med dig?” Det er det, man kalder social bevisførelse.

Et vigtigt element her er, at vi kan lide at sammenligne os med vores ligemænd. Derfor virker social bevisførelse endnu bedre inden for et lokalområde – geografisk eller på en arbejdsplads.

”90 procent af dine kolleger klikker aldrig på et link i en mail uden først at tjekke, hvor det fører hen.”

Hvordan vil sådan en sætning virke på dine medarbejdere?

Glæden ved at vinde

En anden følelse vi kan spille på, er glæden ved at vinde over andre.

Det udnytter nogle systemer til at bekæmpe phishing. Her handler det om at lære medarbejderne at genkende en mail, der forsøger at lokke dem ind på falske websteder.

Systemet sender løbende phishingmails til medarbejderne. Det er ikke ægte phishingmails, men de ligner.

Hver mail indeholder eksempler på typiske træk ved phishing: Forfalskede afsenderadresser, links til forfalskede websteder, og trusler om konsekvenser, hvis man ikke reagerer med det samme.

Hvis medarbejderen gennemskuer, at der er tale om phishing, klikker han eller hun på en knap i mailprogrammet for at rapportere den.

Klikket fører til en portal, hvor medarbejderen får ros for ikke at være faldet for svindlen. Her udnytter systemet en positiv følelse: Vi kan alle godt lide at få at vide, at vi har gjort noget godt.

Men medarbejderen får også point for indsatsen.

Jo flere falske phishingmails, medarbejderen gennemskuer, desto flere point bliver der tildelt. På portalen kan medarbejderne følge hinandens pointstilling.

Dermed bliver det en konkurrence om at være bedst til at gennemskue svindel.

Så fra at være en kedelig ting, man skal huske i en travl hverdag, bliver opmærksomhed på phishing en sjov udfordring, hvor man kappes med kollegerne.

Vil du lege med?

Phishingsystemet bruger det, vi kalder gamification: Det udnytter vores glæde ved at lege og spille til at øge sikkerheden.

Jeg tror, gamification er en vej frem mod bedre awareness. Hvilke forslag har du?

I denne klummes ånd vil jeg udbyde en æske god chokolade til den Computerworld-læser, der sender mig det bedste forslag til at øge awareness. Skriv i kommentarfeltet herunder – og se, om du kan slå dine kolleger!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.