Artikel top billede

Shit happens ... face it: Drop heksejagten og giv it-sikkerhed et menneskeligt ansigt

Klumme: Dine medarbejdere går ikke i phishing-fælden igen og igen, fordi de er dumme. Det skyldes simpelthen vores natur – eller det som nogen kalder for vores abehjerne. Og det bør du indrette dig efter.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Der er meget fokus på it-sikkerhed. Og med god grund. Der findes ikke den virksomhed i dagens Danmark, der ikke er afhængig af it, og hvor et hacker angreb kan forårsage stor skade. Derfor er det absolut positivt, at mange virksomheder mander op på sikkerhedsfronten og blandt andet iværksætter træning for deres medarbejdere – de såkaldte awareness-programmer.

På det seneste har vi i medierne set eksempler på, hvordan både private og offentlige organisationer med større eller mindre succes har gjort brug af disse programmer.

Awareness-programmer går i al sin enkelhed ud på at lære medarbejderne at være opmærksomme på trusler, så de kan undgå at falde i de fælder, it-kriminelle sætter for dem.

Men det handler også om fornuftig it-adfærd generelt, og hvordan man mest hensigtsmæssigt håndterer et potentielt brud.

De fleste awareness-programmer begynder med en test med henblik på at afsløre fejl og uvidenhed hos medarbejderne.

Herefter iværksætter man så et træningsforløb, der fokuserer på netop de svagheder medarbejderne udviste i testresultatet.

Så tester man igen. Og her skulle antallet af medarbejdere, der hopper i de fælder, man stiller for dem, gerne være reduceret i forhold til den første test.

Sådan kan man blive ved, indtil man opnår det ønskede resultat – nemlig nul.

Men du går aldrig i nul

Men her er det så, at mange fejler i awareness-processen. Du når nemlig aldrig nul. Der vil altid være nogle medarbejdere, der klikker på links, åbner vedhæftede filer eller begår andre fejl.

Det er ikke fordi medarbejderne er dumme. Det skyldes simpelthen vores natur – eller det som nogen kalder for vores abehjerne. Abehjernen er ikke styret af fornuft og læring, men af instinkter.

Det betyder, at den ikke er modtagelig for rationale, policy og sund fornuft – alt det de fleste awareness programmer baserer sig på.

Derfor vil jeg vove den påstand, at med en tilpas snedig fremgangsmåde, kan man få selv CIO’en til at klikke, hvor der ikke skal klikkes, åbne det, der ikke skal åbnes eller begå andre fejl.

Hvad nytter awareness-programmer?

Hvorfor så bruge tid og penge på awareness-programmer, vil nogen nok spørge.

Men hov stop lige op her, og gå tilbage til udgangspunktet for programmet og tjek formålet igennem igen.

For det handler jo også om at lære at håndtere potentielle brud bedst muligt.

Alle, der beskæftiger sig med it-sikkerhed ved, at en af de vigtigste faktorer for at begrænse omfanget af et potentielt databrud, virusangreb eller lignende er tid.

Jo længere tid der går, før bruddet bliver opdaget og stoppet, jo mere kan det nå at brede sig i systemet.

Der findes mange eksempler på brud, der kunne være begrænset til nogle få maskiner eller en enkelt afdeling, men som har vokset sig så store, at de har fået vidtrækkende, økonomiske konsekvenser for den ramte virksomhed.

Hvis jeg var ansat i en virksomhed, der forventede, det kun var idioterne, der efter tredje test begik fejl, så ville jeg nok holde det for mig selv, hvis jeg var den uheldige.

Jeg ville sidde helt stille og bare håbe på, at bruddet ikke kunne spores tilbage til min computer. Nogle steder trues der oven i købet med fyringer.

Her må man nok forvente, at sikkerheden, for at ingen frivilligt træder frem, er direkte proportional med sikkerheden, for at man aldrig når nul-fejl-resultatet.

Lyder denne attitude hensigtsmæssig for virksomhedens generelle it-sikkerhed, som jo er den, man sammen med medarbejderne arbejder på at højne? Nej vel.

Fejl bør kunne være en del af en aktiv arbejdsindsats

Forestil dig derimod, at du er ansat i en virksomhed, hvor man accepterer, at fejl er en del af en aktiv arbejdsindsats. Og at det i højere grad handler om at identificere og løse problemerne – og helst så hurtigt som muligt. Så er det nok mere sandsynligt, at man træder frem og fortæller, hvad man ved og dermed får sat en stopper for angrebets omfang.

Jeg siger ikke, at folk bare skal klikke løs, åbne alt hvad de modtager, sende ting ukrypteret, eller hvad man ellers kan forestille sig. Det primære formål med et awareness-program er naturligvis at lære medarbejderne en fornuftig og ansvarlig it-adfærd.

Men det gælder også om at udvise hurtig reaktion, når brud og fejl opdages – uanset om det er dig selv eller en kollega, der har begået fejlen.

Det er derfor absolut anbefalelsesværdigt, at en del af den politik, der udstikkes som opfølgning på en awareness-kampagne, handler om at opfordre medarbejderne til åbenhed og til at handle hurtigt, når en fejl opdages.

Det er vigtigt, at det fremgår klart og tydeligt, hvordan det ønskede forløb i forbindelse med et brud og resultatet heraf skal se ud.

Måske har der aldrig været tale om hverken fyring eller andre konsekvenser. Men alene uvidenheden kan afholde medarbejderne fra at træde frem, ligesom usikkerheden kan være en stressfaktor i hverdagen.

Så en udgangsbøn herfra skal være den, at de it-sikkerhedsansvarlige i højere grad fokuserer på målet for awareness-kampagnen: Nemlig en højere it-sikkerhed. Og at man slækker lidt på heksejagten på den ’skyldige’ medarbejder.

I stedet bør man arbejde hen imod det faktum, at jo hurtigere detection, des hurtigere løsning. Shit happens. Face it! Og håndtér det på den mest fornuftige og menneskelige måde.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




Premium
Nuuday og Telenor vinder kæmpe teleaftaler til det offentlige til en værdi af 1,8 milliarder kroner
SKI har udnævnt vinderne af de to tele- og dataaftaler 50.48 og 02.08, der udgør omkring 14 procent af det samlede offentlige telemarked.
Computerworld
Ransomware-hackere krævede 15 millioner kroner: Betal og kom videre, lød det fra politiet
En fagforening med 1,3 millioner medlemmer blev i 2019 ramt af et ransomware-angreb, hvor hackerne krævede en løsesum på 15 millioner kroner. Myndighederne opfordrede dem til at betale løsesummen, men de valgte en helt anden løsning, og i stedet fandt de fysiske kopier frem og forsøgte at gendanne data.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Kunsten at navigere i en tilpasningsøkonomi
Evnen til at tilpasse sig en verden i konstant forandring bliver afgørende for virksomhedens mulighed for at vækste i fremtiden. Ét af de finansielle håndtag du kan skrue på, er en hel eller delvis outsourcing af it-driften. I e-bogen ”Kunsten at navigere i en tilpasningsøkonomi” får du viden om, hvordan din virksomhed kan bruge tilpasningsøkonomi til at håndtere fremtidens krav til it. Vi spørger blandt andet: - Kan din virksomhed skalere og tilpasse sin digitale kapacitet og økonomi? - Har dine kunder tillid til, at du har de skarpeste it-løsninger? - Ville I kunne styrke forretningen ved at give jeres it mere fokus? - Kan I få øget funktionalitet til samme pris? Vi fokuserer på risiko, økonomi, fokus og valg af it-partner, som er fire opmærksomhedspunkter du skal have styr på for at lykkes med at tilpasse virksomheden til at modstå forandringerne i verden.