”MAN SKAL SE MEDARBEJDERNE SOM ET AKTIV FOR IT-SIKKERHEDEN”
Du kan købe sig fattig i avancerede tekniske systemer til at sikre de vigtige IT-systemer. Men det i sig selv er ikke nok. Den bedste IT-sikkerhed kan kun dine medarbejdere og kolleger give dig.
”Det afgørende er at uddanne folk til at forstå og håndtere de trusler, som der er derude, så de kan fungere som en slags menneskelig firewall, der kan forhindre, at angreb slipper igennem de tekniske værn,” siger Henning Mortensen.
“Det er jo næsten mere min skyld som IT-sikkerhedschef, hvis medarbejderne kommer til at klikke på et forkert link. Så er det, fordi jeg ikke har formået at skabe den fornødne opmærksomhed på IT-sikkerhed.”
Henning Mortensen
Hold det i bevidstheden
Ud over sit daglige virke som IT-sikkerhedschef i en større dansk virksomhed, har han siden 2017 også været formand for Rådet for Digital Sikkerhed. Henning Mortensen er tillige medlem af Rådet for Cybersikkerhed, der blev oprettet i december sidste år. Ifølge ham er det afgørende løbende at uddanne medarbejderne, f.eks. gennem e-læringsforløb ved online kurser.
”Samtidig kan man også løbende forsøge at holde medarbejderne skarpe på de trusler, som der er derude. Man skal se medarbejderne som et aktiv for IT-sikkerheden på linje med den tekniske firewall,” siger Henning Mortensen.
Set fra hans skrivebordsstol handler det først og fremmest om at få kolleger og medarbejdere til at forstå, hvorfor det er vigtigt at passe på, og hvordan man bedst passer på. Først som sidst handler det om at tale klart og enkelt til medarbejderne løbende. Man skal passe på med at lade det være med en enkelt manual, som er så uoverskuelig, at ingen får den læst.
I stedet skal man hele tiden sørge for at opdatere informationerne, og ikke mindst at teste medarbejderne for at sikre, at budskaberne holder ved i deres bevidsthed.
Holdes til ilden … hele tiden
Henning Mortensen understreger, at bevidsthed om IT-sikkerhed er en flygtig størrelse, som let glider i baggrunden, når hverdagens mange gøremål melder sig.
”Man skal hele tiden holde folk til ilden. Når man har gjort det i tilstrækkeligt lang tid, skulle det gerne forandre kulturen på arbejdspladsen, så alle er opmærksom på IT-sikkerhed hele tiden. Ellers fungerer den menneskelige firewall ikke,” siger han.
Men lederne kan ikke læne sig tilbage i troen på, at så er alt fjong. Cheferne har ansvaret for, at medarbejderne har den fornødne tid til at tage kurserne i IT-sikkerhed. De skal sørge for at signalere, at det der IT-sikkerhed er vigtigt, ja faktisk afgørende for, at virksomheden klarer sig uden angreb, der kan koste dyrt.
”De skal også sørge for, at medarbejdere, som ikke synes, at det er relevant for dem, kommer med på holdet,” siger Henning Mortensen.
Ikke mindst skal lederne sørge for at få skabt en kultur, hvor medarbejderne ikke holder sig tilbage fra at melde, at de måske er kommet til at klikke på et forkert link eller andet, som kan være noget rigtigt skidt. Med andre ord skal de føle sig sikre på, at der ikke bliver peget fingre ad dem eller jobbet ryger, hvis de åbent erkender fejl.
”Ledelsen har ansvaret for at gøre medarbejderne trygge. De må ikke sætte dem i en gabestok, hvis de kommer til at kvaje sig. Tværtimod. De skal opmuntre til, at man står frem, så alle kan lære af fejl.”
Henning Mortensen fortsætter:
”Det er jo næsten mere min skyld som IT-sikkerhedschef, hvis medarbejderne kommer til at klikke på et forkert link. Så er det, fordi jeg ikke har formået at skabe den fornødne opmærksomhed på IT-sikkerhed.”
FEM GODE RÅD TIL AT FÅ EN BEDRE IT-SIKKERHED
\ Formanden for Rådet for Digital Sikkerhed, Henning Mortensen giver sine bud på, hvad der hjælpe dine kolleger til at forhindre angreb på jeres IT-sikkerhed.
\ Brug e-læring til at undervise i IT-sikkerhed. Men lad være med at købe et standardprodukt. Find i stedet et, som kan tilpasses til netop din arbejdsplads.
\ Test medarbejderne løbende for at finde de svage punkter i deres viden om IT-sikkerhed. Mål løbende, hvor meget af din kommunikation om IT-sikkerhed, medarbejderne læser.
\ Lad være med bare at komme med forbud. Fortæl hvorfor det er sådan. Og ikke mindst sørg for at give medarbejderne praktiske redskaber til at løse deres opgaver sikkert.
\ Glem alt om gabestok og fyringer. Gør det i stedet trygt at melde om mulige sikkerhedsbrister.
\ Giv medarbejderne redskaber, som de også kan anvende til ikke at blive ramt i deres privatliv. Også det med til at gøre IT-sikkerhed mere nærværende i dagligdagen.
Hvad er rigtig og hvad er forkert?
Han erkender dog blankt, at nogle af de IT-kriminelles redskaber er så avancerede, at de kan være meget svære at afsløre. Nogle gange kan mistænksomheden næsten give bagslag. Et eksempel for nylig var der en mail i E-boks, som så ud, som om den kom fra SKAT. Henning Mortensen var dog selv overbevist om, at mailen ikke kunne komme fra skattemyndighederne. Sproget virkede helt forkert.
Men det viste sig, at beskeden rent faktisk var ægte. Eksemplet illustrerer, hvor vanskeligt det kan være at skelne mellem reelle mails og de kriminelles angreb.
Nye teknologier som kunstig intelligens bliver også en faktor på begge sider i kampen for IT-sikkerheden.
”De kriminelle bruger nu også kunstig intelligens. I et tilfælde fra udlandet havde en direktør været taler ved en konference. Her havde kriminelle optaget hans stemme, og med kunstig intelligens havde de lavet en lydfil, som lød som hans stemme. Med den forsøgte man at snyde hans finansdirektør til at overføre penge til udlandet.”
Heldigvis havde man i virksomheden en procedure, hvor det krævede flere godkendelse for, at betalingen kunne gå igennem, fortæller Henning Mortensen.
Han understreger, at disse to eksempler demonstrerer, hvor svær en øvelse det er at sikre både medarbejdere og virksomhed i dette minefelt.
”Men heldigvis står den menneskelige firewall ikke alene. Man har også en række tekniske løsninger til at fange angreb. Men det er en konstant kamp om hele tiden at være på forkant med de sidste farer.”
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.