IT-Sikkerhed handler om mennesker – ikke om teknologi
”Kulturforandringer – det er så skidesvært,” kommer den første og meget kontante udmelding, fra Rasmus Thomsen, når man spørger ham, hvordan man som virksomhed, tillidsrepræsentant eller kollega skaber en mere sikker IT-kultur i en virksomhed.
Rasmus Thomsen er direktør i firmaet ”IS IT A BIRD”, der arbejder med innovationsprojekter for virksomheder, og i hans øjne, er det oplagt at sammenligne det at skabe innovation og forandre en virksomheds kultur.
”Det handler om, at vi alle sammen gerne vil have folk til at ændre adfærd – i alle brancher. For mig ligner det ethvert andet innovationsprojekt: Vi har et mål om, at nogen skal gøre noget eller købe noget. Her skal vi have folk til at opføre sig mere sikkert på IT-området.”
Skift fokus – væk fra teknologi
Han mener det mest afgørende er, at vi starter med at skifte fokus – væk fra teknologien.
”Vi tager næsten altid udgangspunkt i vores teknologi, og så tror vi, at vi bare skal kommunikere os ud af det – ofte med en masse regler og ting man ikke må.”
Det udgangspunkt er forkert, mener Rasmus Thomsen.
”Vi bliver nødt til at stå et andet sted. Vi skal forstå meget grundlæggende, hvad det er for udfordringer, vore kollegaer har, og så skal alle de initiativer, vi tager, spille ind i det. Allerhelst skal vi gøre deres hverdag nemmere. Vi skal nudge dem i den rigtige retning.”
Den hurtige og den langsomme hjerne
”Nudging handler om at gøre det nemt for folk at tage det rigtige valg,” forklarer Rasmus Thomsen.
Vi mennesker har to systemer til at tage beslutninger: Et automatisk system, hvor vi bare gør vane-tingene uden at tænke. Det er det system, vi bruger 90 procent af tiden.
Og så har vi det rationelle system, hvor vi overvejer og analyserer situationen. Det rationelle system kræver meget energi at slå til, og da vi gerne vil gøre tingene uden at bruge for meget energi, så tager vi ofte forkerte beslutninger.
Rasmus Thomsen opfordrer derfor til, at man indretter både rum og arbejdsgange, så det bliver nemt for medarbejderne at tage de rigtige beslutninger.
Vi tager næsten altid udgangspunkt i vores teknologi, og så tror vi, at vi bare skal kommunikere os ud af det – ofte med en masse regler og ting, man ikke må. Det udgangspunkt er grundlæggende forkert.
Rasmus Thomsen, Direktør, IS IT A BIRD/cite>
Design-sikkerhed
”Klassikeren er frokost-buffeten: Hvis man stiller grøntsagerne først og kødet bagefter, tager folk flest grøntsager. Hvis man stiller mindre tallerkener frem, så spiser folk mindre portioner.”
”Et konkret eksempel, som er med til at øge sikkerheden i en organisation, er fx personaleindgangene i DR-Byen. Her kan man kun komme igennem ved at bruge sit personalekort, og der er kun plads til en person i slusen ad gangen, så de ansatte ikke kan lukke fremmede ind i bygningen.”
Tal troværdigt
Ikke alt kan løses med perfekte systemer, og her er det vigtig, at man overvejer kommunikationen grundigt, understreger Rasmus Thomsen. Målet er at undgå ”den løftede pegefinger fra ham den sure i IT-afdelingen” og i stedet skabe forståelse.
”Hvis tingene ser ud som noget, der kommer fra ”systemet”, så afskriver folk det ofte. Man fandt fx ud af, at hvis man skrev til folk, der skyldte penge, så var der langt flere, der åbnede brevene, hvis de modtog breve med håndskrevne adresser frem for, hvis det var rudekuverter.”
”Det er oplagt at bruge fageksperter til at kommunikere budskaberne om IT-sikkerhed – eller endnu bedre: Få kollegaer til at gå forrest. Det er det samme som på Facebook: Man lytter meget mere til anbefalinger fra ens venner end til nok så mange budskaber oppe fra.”
Vi lavede en gang en analyse, hvor vi så på de mest kreative produkter, som en stor organisation havde skabt. I kernen fandt vi altid en projektleder, der var totalt civilt ulydig.
Rasmus Thomsen, Direktør, IS IT A BIRD/cite>
Brug de fælles normer
Rasmus Thomsen anbefaler også, at man taler om fælles normer, frem for regler.
”I stedet for at løfte pegefingrene, så virker det bedre, hvis man fortæller, hvad der er den fælles norm. Et britisk energifirma lavede en stribe forsøg med energi-besparelser og det, der virkede langt bedst var, når man fik et brev med en grafik, der viste, at man brugte en smule mere energi end gennemsnittet i ens kvarter. Folk vil ikke falde uden for.”
”Det er den samme effekt, man bruger på hoteller, hvor man viser, at på det her hotel, er det en fælles norm, at man kun skifter håndklæde, når det er nødvendigt. Man bliver ikke frataget sin mulighed for at få et rent håndklæde, men man får en forståelse for, at det normale er at bruge det flere gange.”
”Hvis man ved, at ni ud af 10 i firmaet husker deres ID-kort eller husker at skifte password, så virker det meget overbevisende på dem, der endnu ikke gør det,” siger Rasmus Thomsen.
Gør det sikre til default
Rasmus Thomsens næste råd lyder nemt. Alligevel bliver det tit overset, fordi det kræver et solidt forarbejde eller en investering fra firmaets side.
”Man bør gøre den gode – og sikre løsning til den nemme løsning. Folk vil gerne gøre det rigtige, men får det kun gjort, hvis det også er nemt.”
”Et oplagt eksempel er donor-kortet, hvor man i Danmark skal tilmelde sig. Derfor har vi ret få organ-donorer. I andre lande har man gjort det omvendt – så alle som udgangspunkt er donorer, men at man kan melde sig fra.”
”Hvis vi tager password-eksemplet, så kunne det være, at man ikke blot skulle minde folk om at skifte password, men også hjælpe dem med en pop-up, nogle gode tips til et sikkert password eller en password-generator.”
”Vi kender også alle til stablerne med fortrolige papirer i kopi-rummet. Hvis man i stedet installerer printere, hvor man skal bruge sit medarbejderkort, når man står i printerrummet, så forsvinder problemet fuldstændigt,” siger Rasmus Thomsen.
Vi elsker at konkurrere
”Alle elsker konkurrencer. Man kan bare se på DHL-stafetten, der får folk til at dyrke motion. Hvis man kan gøre sikkerhed til et spil, så er det guf i forhold til IT-sikkerhed,” siger Rasmus Thomsen.
”Den obligatoriske liste med 33 ting man ikke må pga. IT-sikkerhed, er der ingen, der gider læse, men hvis man gør det til en quiz i Kahoot, hvor alle kan hive deres mobiltelefon frem og vinde præmier, så har man folks opmærksomhed.”
”På samme måde kunne man også lave scoreboards over de afdelinger, der er bedst til at gøre de rigtige ting inden for IT-sikkerhed.”
Nytårsforsættet – sig det højt
Rasmus Thomsen mener også, at man kan bruge principperne fra nytårsforsættet til at få folk til at forbedre IT-sikkerheden.
”Vi kender alle det at komme med nytårsfortsætter. Når vi selv har sat målet, og tillige har sagt det offentligt, så binder det langt mere.”
”Herhjemme havde vi en klassisk kamp med at få ungerne til at lave mere. Det blev løst den dag, min søn selv skrev listen, og satte den på køleskabet. Det virkede faktisk langt bedre end hvis, jeg havde lavet listen,” fortæller Rasmus Thomsen.
”På samme måde kunne man tage IT-sikkerhed op som et møde-emne, og få afdelingen til at beslutte nogle fælles mål, som man sætter på døren, så alle kan se dem – især folk udefra”
De mest kreative bryder reglerne
Rasmus Thomsen peger på, at små virksomheder sjældent har de samme problemer som store virksomheder. Og han mener også, at man skal passe på, at systemkravene ikke kvæler den kreativitet, som virksomheden har brug for.
”Jeg har siddet i kæmpeprojekter, hvor folk ikke må bruge Slack, men skal trækkes ind i Sharepoint. Hvis jeg blev tvunget til det, ville jeg også forsøge at finde steder, hvor gærdet var lavest.”
”I de små virksomheder slæber man ikke rundt på en masse legacy-systemer, som ikke bliver opdateret eller udskiftet. I stedet er man vant til, at man finder de programmer, der løser problemet gratis på nettet. Jeg mener, at problemet ofte ligger i, hvordan systemerne er designet. Derfor burde brugervenlighed og fleksibilitet være en langt større faktor, når firmaet indkøber IT-systemer.”
”Vi lavede en gang en analyse, hvor vi så på de mest kreative produkter, som en stor organisation havde skabt. I kernen fandt vi altid en projektleder, der var totalt civilt ulydig og, som satsede på tilgivelse frem for tilladelse. Problemet ligger ofte på system-niveau, hvor folk føler, at de er nødt til at være civilt ulydige for at udføre deres arbejde.”
Rasmus Thomsen peger på, at IT-afdelingens udgangspunkt ofte er, at det er den menneskelige faktor, der er risikoen – aldrig systemet.
”IT-afdelingen kommer sjældent og siger, at det er menneskene, der er rigtigt på den. Men hvis man tog det udgangspunkt, så ville man være nødt til at lave om på systemerne, så de passer til mennesker.”
6 råd til bedre IT-sikkerhed
\ Gør det nemt at overholde IT-sikkerheden.
\ Brug troværdige afsendere. Medarbejderne lytter mere til deres kollegaer end en fjern IT-afdeling.
\ Tal til de fælles normer. Det virker langt bedre end forbud.
\ Default-løsningerne skal være de sikre.
\ Udnyt, at folk elsker at konkurrere. Hvem ved mest om IT-sikkerhed?
\ Gør det nemt for medarbejderne at forpligte sig offentligt.