KONTROL ER GODT, TILLID ER BEDRE
Som du kan læse i artiklen “Medarbejderne bliver svigtet af arbejdsgiverne”, mener Sune Gabelgaard, leder af svindelbekæmpelse i MobilePay, at det er forkert at tale om medarbejderne som den største svaghed i det digitale forsvar. Det er tre tillidsrepræsentanter meget enige med ham i. De tre tillidsrepræsentanter kommer fra vidt forskellige arbejdspladser, og beretter også om meget forskellige niveauer af restriktioner og kontrol med medarbejdernes digitale adfærd. Her kan du læse, hvor deres virksomhed ligger på skalaen mellem tillid og kontrol.
“TÆTTERE PÅ SKÆLDUD END TILLID”
Kenneth I. Johannesson arbejder i frontdesk hos Grundfos og er tillidsrepræsentant. Han er oprindeligt uddannet butiksslagter, men er autodidakt indenfor IT.
“Jeg sidder i frontdesk, der er øretævernes holdeplads. Folk ringer til mig og mine kollegaer, når et eller andet går galt. Det kan være phishing-e-mails, hvor de hopper i med begge ben. Så ringer de til os: ‘Oooops, hvad gør vi nu?’
Vi er en international virksomhed og mindsettet i Danmark er ikke det samme som i resten af verden. Vi har mange sikkerhedsforanstaltninger. For eksempel er medarbejderne som udgangspunkt ikke lokaladministratorer på deres enheder, for ellers installerer de programmer.
Nogle steder i verden er medarbejderne ressourcer i forhold til IT-sikkerhed, men andre steder i verden har den tillid ikke kunnet opretholdes. Vi er en stor virksomhed og har valgt at have samme set-up i hele verden.
Vi har en mulighed for at sende en pop-up-besked ud til folks skærm. Vi har lige fået en i dag. Der står, at vi skulle passe på, at der var phishing-mails i omløb. Hvis vi i servicedesk oplever, at der kommer nogle stykker, så kontakter vi sikkerhedsafdelingen for at advisere dem og for at få deres godkendelse af, at vi sender en notifikation til alle medarbejdere. Den popper op på deres skærm, og alle der logger ind ser den. Der står kort, hvad de skal være opmærksomme på.
Vi har haft nogle onlinesessions, hvor man kunne se, hvad skal man skal være opmærksom på i forhold til sikkerhed for at beskytte sig selv. Vores PC’er og mobiler er beskyttet med privacy-filter, og koder skal skiftes hver tredje måned.
Når det sker, at nogen bevidst eller ubevidst installerer noget, som de ikke må, så er det lederens ansvar at tage samtalen og sikre, at der bliver rettet ind. Folk kan godt blive lokaladministratorer på deres computer, men hvis der ikke er tillid længere, så bliver rettighederne frataget.
Set fra servicedesk skal man give medarbejdere frihed til at arbejde, men frihed under ansvar. Vi er nødt til at have et globaliseret system og derfor er vi nødt til at følge nogle standarder og regler, der kommer fra f.eks. Microsoft og vores revision.
De største problemer er klart phishing-mails, og at folk installerer software, der ikke er arbejdsrelateret.
Det er forskelligt, hvordan medarbejderne ser på IT-sikkerhed. For en softwareudvikler kan det være irriterende med begrænsningerne, ‘det sker aldrig for mig’, men det er jo statistisk bevist, at nogen kommer til at lave en fejl i en stresset eller presset situation. Hvis beskeder om sikkerhed er mere end to linjer lange, så læser folk det ikke. De tænker:
‘IT-sikkerhed er ikke for mig, for det sker ikke for mig’”.
“Vi ligger tættere på skældud end tillid.”
Kenneth I. Johannesson
“DE BEGRÆNSER OS RET MEGET”
Katrine Gundel Harmens er tillidsrepræsentant på Berlingske. Hun arbejder som Digital and programmatic campaign manager i salgsafdelingen.
“Hos os er IT-afdelingen faktisk ret strikse. Det er kun IT-afdelingen, der har adgang til det hele.Vi skal give en god grund til at få adgang til admin-rettigheder, og vi får det kun i 24 timer. De begrænser os ret meget. Måske er de bange for at vi lægger hele virksomheden ned. Det er dog meget begrænset, hvad vi kan i systemerne.
Jeg oplever ikke, at folk er frustrerede over det. Sådan er det bare, sådan har det altid været. Jeg sidder selv og laver digitale annoncer og derfor har jeg admin-rettigheder. Jeg var blevet irriteret, hvis jeg ikke havde det. Men jeg skal argumentere for at have det.
Hver måned skal de nærmeste ledere bekræfte hvilke medarbejdere, der fortsat skal have adgang til de forskellige IT-systemer.
IT-sikkerhed fylder ikke meget i vores salgsafdeling. Der er ikke så stor bekymring for at blive hacket. Men vi forholder os meget til bannerannoncer med fake news, f.eks. dem der har været om, at Mads Mikkelsen og Nikolaj Coster-Waldau er døde. Det bruger vi meget tid på at rydde ud i. Vi sletter dem, men dem, der står bag, skifter hele tiden til nye URL’er, så vi skal slette igen. Det sker, fordi vi kører mange bannere fra tredjeparter, hvor der kan ligger alt muligt i, som vi ikke ved hvad er. Vi tester bannerne, men fanger ikke alt.
Vi har nogle standardregler, f.eks. skal vi låse computeren og skifte password hver tredje måned, men vi skal ikke igennem et kursus, når vi starter.
IT-afdelingen ser os lidt firkantet sagt nok som nogen, der fucker op. For eksempel når det kommer til de her bannere, hvor det kan være svært at få ryddet op i fake news. Det ligger på vores område, så det er os, skideballen lander hos.
Hvis vi skulle være ressource i forhold til IT-sikkerhed, så skulle vi have mere information og mere uddannelse til den almindelige medarbejder. Det er sådan, at vi får fokus på det. Jeg tror dog, at det er de færreste, der ville tage imod det, med mindre der var obligatorisk. De ville ikke synes, at det var relevant for deres arbejde.”
“IT ser os, nok lidt firkantet, som nogen der fucker op.”
Katrine Gundel Harmens
“DET KOSTER FLØDEBOLLER, HVIS MAN GLEMMER AT LÅSE COMPUTEREN”
Vivi Bech Sørensen er tillidsrepræsentant for godt 75 HK’ere i stabene på rådhuset i Randers. Det dækker blandt andet IT-afdelingen og en række administrative afdelinger.
“Vi snakker ikke så meget om IT-sikkerhed. Folk tænker, at der er styr på det. Vi har en god IT-afdeling og systemer, der fungerer, så hvis jeg opfører mig ordentligt, så er der ikke fare på færde.
Når vi ansætter nye i dag, så er noget af det første der sker, at man får et link til vores IT-sikkerhedskursus, der er obligatorisk. Det samme er vores GDPR-kursus i øvrigt. Det er obligatorisk, men det bliver dog ikke kontrolleret, om man gennemfører det. Det er et e-learning-kursus på 45 minutter, der kommer vidt omkring.
Vi har en stor grad af tillid. Hvis en kollega blev kaldt ind til chefen, fordi der var sket en brist, så ville jeg som tillidsrepræsentant med det samme spørge, hvordan de er oplært og instrueret, for det er i sidste ende ledelsens ansvar.
Vores IT-afdeling skriver fra tid til anden rundt, hvis der f.eks. sker phishing-forsøg i kommunaldirektørens navn eller lignende, så vi bliver advaret. Vi har også en masse vejledninger på intranettet, der f.eks. forklarer hvordan, vi skal forholde os, hvis der sker en sikkerhedshændelse.
Jeg tror, at det bedste man kan gøre, er at bruge gode eksempler med konkrete historier og cases. Det er vigtigt, at de her ting kommer oppe fra, f.eks. at det italesættes i lederfora, så lederne går videre med det til medarbejderne. Hos os fungerer det også godt at få e-mails fra IT-chefen, når der er konkrete fænomener, vi skal forholde os til.
Medarbejderne er vigtige, men kan ikke kæmpe kampen alene. Hvis man har gode sikkerhedssystemer og sørger for at oplære medarbejderne, så har man efter min mening det bedste bolværk mod hackere og andre IT-trusler.
Vi skal bruge vores sunde fornuft. Vi holder os til retningslinjerne og ved godt, at vi ikke skal lade computeren stå ulåst eller efterlade den på forsædet af bilen. Vi lader heller ikke vores familier bruge vores enheder derhjemme. Jeg tror ikke, at folk spekulerer så meget på IT-sikkerhed. Computeren og de andre digitale enheder er så integreret i vores arbejdsliv. Hos os minder folk hinanden om at låse computeren, når man går fra den, og hvis man glemmer det, så koster det flødeboller. Det er gemytligt, men med en vis undertone af alvor. Hos os er der ingen, der står og ånder os i nakken.”
“Medarbejderne er vigtige, men kan ikke kæmpe kampen alene.”
Vivi Bech Sørensen