Vi lever i en tid, hvor der dagligt er nyheder om cyberkriminelle og databrud. Af samme årsag opdager flere virksomheder vigtigheden af at foretage sikkerhedsforbedringer, hvilket medfører den ene sikkerhedskampagne efter den anden. Desværre opdager mange virksomheder, at deres kampagner og indsatser ikke helt rammer skiven eller bliver glemt hurtigt igen. I mange tilfælde skyldes det, at der ikke er en sikkerhedskultur i virksomheden.
Mange vil nok nikke genkendende til tanken om, at ansvaret for cybersikkerhed ligger i IT-afdelingen. Men faktum er, at nutidens cybertrusler rækker langt ud over IT-afdelingen. De fleste cybereksperter er enige om, at hvis man skal kunne værne sig mod cybertrusler, så er det virksomheden som en helhed, der skal se sig som ansvarlig for cybersikkerheden. Uanset om det er medarbejderne eller lederne, bør det altså være alles opgave.
Forstår DIne medarbejdere jeres sikkerhedspolitik?
At implementere sikkerhedspolitik og faktisk få folk til at forstå dem er to meget forskellige ting. Det nytter ikke bare, at skrive en IT-politik og så forvente, at alle per automatik følger den. Hvis din IT-politik er uforståelig, kedelig eller ikke indgyder en vis følelse af ansvarlighed, ja, så kan du lige så godt smide den ud. Sagt på en anden måde: Hvis det er uklart, hvad din sikkerhedskultur indebærer og hvad du forventer af dine medarbejdere, så bliver den nok ikke anvendt i praksis. Er den for teknisk? Er den 25 sider lang og utrolig svær at komme igennem? Præsenteres den på et tidspunkt, hvor ingen har tid til at læse den? Ville du selv gide at læse den? En af awareness-træningens grand masters siger det ret præcist: "If you work against human nature, you will fail" (Perry Carpenter).
En god måde at komme ud over de mange forfejlede forsøg på IT-politikker, online øvelser og skræmmekampagner, er at tage et skridt tilbage og se på, hvorvidt din virksomhed har en sikkerhedskultur. Har I et fælles sprog, når det kommer til at passe på hinanden, virksomheden og jeres kunder? Det lyder måske abstrakt, men at få ny viden overført til adfærd kræver, at man er motiveret, har evnen til at forstå indholdet og at det sker på den rette foranledning. Hvis ikke motivation, evne og foranledning er tilstede, så er det svært at ændre adfærd. Netop motivation, evne og foranledning kan forankres i din virksomheds sikkerhedskultur, så lad os kigge på lidt praktiske erfaring til, hvordan du kan komme igang med en god sikkerhedskultur.
1. Skab et åben og positiv miljø omkring cybersikkerhed
Sikkerhed er noget, som alle skal tage del i. Hvorfor? Fordi enhver medarbejder har mulighed for at bidrage til sikkerheden i virksomheden. Ligesom enhver medarbejder potentielt kan ødelægge sikkerheden i virksomheden.
Ved at fremme et åbent og gennemsigtigt sikkerhedskultur, hvor medarbejdere kan indrømme fejl eller rapportere sikkerhedshændelser uden frygt, vil organisationer være mere sikker. I organisationer, hvor "delt ansvar" ikke er til stede, er trusler mere sandsynlige. Administrativt personalet såvel som dem der gør rent i virksomheden spiller alle en vigtig rolle i at opretholde et stærkt sikkerhedsmiljø.
2. Tal deres sprog
Gode politikker skal være engagerende, lette at læse og forstå. Hvis du har en lang, tør politik spækket med branchejargon, så vil den ikke engagere nogen - heller ikke de nørdede ansatte i IT-afdeling, der måske forstår den. Gør dig umage og sørg for, at det er interessant og enkelt nok for selv ikke-it-relaterede medarbejdere at læse og forstå politikken.
Det vigtigste er at bruge et simpelt sprog, der er relevant for dine medarbejdere baseret på den type arbejde, de udfører. Hvis der er stor mangfoldighed i din medarbejdergruppe, hvor nogle er specialister og andre er IT-novicer, så kan du med fordel lave mere end en version af det du vil kommunikere. Når det kommer til cybertrusler, så sørg for, at de ved, hvilke former for trusler, de skal være opmærksomme på; hvad de skal gøre, hvis de har mistanke om en potentiel trussel, og hvad de skal gøre, hvis de oplever en hændelse, som de ønsker at rapportere.
3. Sørg for løbende awareness-træning
En af svaghederne ved traditionel awarenesstræning er, at det måske foregår hvert andet år og ofte prøver man på en time eller to at komme igennem alle former for sikkerhedstræning. Forestil dig, at alle dine køretimer i teori og praksis skulle gøres på 2 timer og du derefter blev sendt ud i trafikken - vil du føle dig sikker? Awarenesstræning bør altid tilpasses og udvikles i lyset af nye trusler, nye data og fremkomsten af nye teknologier. Det betyder, at indsatsen altid skal være relevant for medarbejderne og bør ske løbende. Man kan med fordel træne tematisk, så man løbende får lært medarbejdere nye ting.
En virksomhed kan bruge simulerede social engineering-tests (såsom phishing-simuleringer) for at gøre deres træning mere praktisk. Dette gør det muligt for medarbejderne at træne deres kritiske sans og lære, hvordan man spotter potentielle trusler.
4. Overvej at bruge "belønninger"
Med belønninger, så kan der menes mange ting. Amerikanske studier viser, at gavekort og andre små anerkendelser virker i amerikanske virksomheder. Det er usikkert om den danske virksomhedskultur kan helt det samme, og det bør være op til den enkelte virksomhed og vurdere om gavekort eller andre fysiske belønninger matcher med ens virksomhed. Der er dog andre måder, du kan belønne dine medarbejdere på.
Et værktøj der har vist sig utroligt godt er offentligt anerkendelse. Når dine medarbejdere eller en enkelt medarbejder gør det godt, så vis det. Vi mennesker elsker at få anerkendelse foran andre mennesker. Hvis du viser dine medarbejdere, at du sætter pris på deres arbejde, med at holde virksomheden sikker, så er der større sandsynlighed for, at de fortsætter med den adfærd. Et anerkendende, belønningsbaseret miljø gør det mere sandsynligt, at positiv adfærd vil blive efterlignet og gentaget.
Hvis du implementerer målrettede planer, som at kommunikere din sikkerhedspolitik på en måde, der ikke skræmmer folk, belønner medarbejdere i stedet for at straffe dem og løbende sørger for at de er klædt på til at forstå og modstå cybertrusler, så vil du få en langt mere resilient sikkerhedskultur, der holder ved. Og løsninger der holder ved er altid en god investering.
留言