Frygt og udskamning gavner ikke jeres sikkerhedskultur

Annonceindlæg tema

Forsvar & beredskab

Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.

Tine Tuxen Løvstrand

Sikkerhedsekspert og næstforperson i Dansk IT

Selvstændig informationssikkerhedskonsulent i Tinetuxen Aps.

Tine har arbejdet professionelt med it i mere end 25 år heraf næsten 20 år med de fleste områder indenfor informationssikkerhed.

Tine har været ansat mange forskellige steder som NNIT, BRFkredit, PET, NNE og Tryg forsikring indtil hun for 5 år siden startede som selvstændig informationssikkerhedskonsulent i Tinetuxen ApS.

Her bruger hun sin ekspertise til at hjælpe forskellige organisationer med at løfte deres sikkerhedsniveau.

Udover at hjælpe sine forskellige kunder holder Tine jævnligt oplæg om sikkerhed, hun sidder i sikkerhedspanelet hos Punktum.dk (tidligere DK-hostmaster) og er ekstern ISO 27001 auditor hos DNV.

Tine er et kendt ansigt hos Dansk IT, hvor hun pt. sidder som næstformand i Dansk IT’s bestyrelse.

Læs mere

Sarah Ålborg

CISO i Tivoli & indehaver af Secure by Choice

Med en uddannelse som bibliotekar og mere end 27 års erfaring i IT-verdenen, krydret med uddannelser inden for både programledelse, change management, risikostyring og adfærdsdesign har Sarah en unik indgang til IT-sikkerhed, som hun arbejdet med hos store danske virksomheder så som Novozymes, DSB og nu Tivoli. Rollerne har spændt fra IT-sikkerhedsprogramleder over security awareness manager og risikostyring til CISO


Sarah udlever sin store interesse for det menneskelige element i IT-sikkerhed gennem sin virksomhed Secure By Choice, hvor hun blogger, holder keynotes, underviser og snart udgiver en bog om de psykologiske elementer i IT-sikkerhed. Derudover er Sarah fagligt aktiv i Dansk IT, medlem af DIs udvalg for Informationssikkerhed og jævnlig gæsteforelæser på diverse cyberuddannelser.

Læs mere

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Mange virksomheder træner jævnligt deres medarbejdere i at undgå phishing-mails.

Det vil sige, at alle får tilsendt snyde-mails, og så bliver der ellers lavet statistik over, hvor mange medarbejdere der går i fælden og klikker på links i de falske phishing-mails.

Disse nøgletal er for nogle virksomheder selve omdrejningspunktet for hele indsatsen.

Den er med andre ord præget af en tankegang, hvor medarbejdernes præstation egentlig kun kan være for dårlig: Ét klik er ét for meget – og så er du i fedtefadet.

I en udenlandsk virksomhed har vi endda oplevet, at de berørte medarbejdere automatisk fik deres mail-konto lukket, så de slukørede måtte gå the walk of shame til it-afdelingen og bekende deres synder.

Derfor er klikrater et dårligt måleværktøj

Fokusering på klikrater er meget udbredt, fordi de er nemme at måle på.

Men hvis det handler om at bane vej for mere sikker adfærd, så er det et forkert sted at starte.

En måling af klikrate vil nemlig kun indikere sværhedsgraden af den anvendte phishing-mail – og den kan man altid skrue op for, indtil folk begynde at at gå i fælden.

Den er på ingen måde en indikator af organisationens generelle sikkerhedsniveau, hvor det for eksempel giver langt bedre mening at måle på, hvor mange der rent faktisk rapporterer mailen til IT-afdelingen.

Bøh! Så ka' du lære det ...

Et andet problem er, at phishing-tests og måling af klikrater bygger på en antagelse af, at det har en god effekt at "fange" folk i handlingen og til en vis grad skræmme dem.

Men det er ikke nogen effektiv metode. Alarmer og pessimisme skaber ganske vist opmærksomhed på den korte bane, men fører sjældent til længerevarende engagement og aktiv handling.

I stedet appellerer det til instinktet om at sidde stille eller fjerne sig fra "faren" – vi bliver passive og tager afstand.

Opbakning skal komme indefra

Frygt kan måske virke som en god motivator, men prøv at tænke på, hvor svært det kan være at ændre adfærd selv i mødet med virkelig alvorlige risici.

Vi behøver bare at kigge på klimaændringene for at konstatere, hvordan oplysning og kampagner om hvor galt det kan gå, ikke formår at skabe sætte en ændringer.

Det gælder også for sikkerhed, hvor hensigtsmæssig adfærd skal frem-elskes med positiv, handlingsorienteret kommunikation – ikke frem-skræmmes med tests og frygtscenarier.

Hvilke af disse to udsagn tror du har den bedste langtidseffekt på din adfærd?:

• Advarsel! Åbn ikke falske mails – så lukker vi din konto!

• Tak fordi du er opmærksom på at rapportere mistænkelige mail til os. Det hjælper os med at beskytte alle mod den afsender fremover og fjerne mailen fra dine kollegers mailbokse, hvis de også har modtaget den.

Skab mening frem for frygt

Hvis I gerne vil "nudge" jeres medarbejdere til at være mere på vagt over for ondsindede phishing-mails, så gælder det om at inkludere og involvere.

Lad dem vide, hvorfor og hvordan de skal arbejde sikkert – gerne med et legende element, såsom konkurrencer og gamification, der giver smil på læben og lyst til at lære mere.

På den måde kan man skabe en kultur, hvor sikkerhed kan diskuteres åbnet og uden frygt for repressalier. En kultur, hvor man også husker at takke medarbejderne for deres bidrag til cybersikkerheden og for at råbe vagt i gevær, når de mener, der er behov for det.

Vi tror, det vil gavne mange organisationer at huske på, god sikkerhedskultur først og fremmest handler om holdninger – ikke klikrater.

Vi bør i højere grad betragte den kulturelle side af cybersikkerhed som en nudging-opgave, hvor vi med overvejende positive virkemidler gør det meningsfyldt og socialt attraktivt at træffe gode beslutninger om den fælles cybersikkerhed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.