SIKKERHEDSCHEFER: TILLID ER ALTAFGØRENDE FOR IT-SIKKERHEDEN
”Vores arbejde med IT-sikkerhed starter allerede på vores on-boarding kurser,” fortæller Kim Larsen, der er sikkerhedschef i Systematic.
”Jeg sørger for at være meget synlig, så det bliver klart for nye medarbejdere, hvor de skal henvende sig, hvis de f.eks. kommer til at klikke på et link i en phishing-mail eller noget lignende.”
Det værste der nemlig kan ske efter sikkerhedschefens mening er, at medarbejderen selv forsøger at løse problemet, hvis deres computer f.eks. er ramt af f.eks. ransomware eller virus.
”Hele arbejdet med damage control bliver nemlig helt umuligt, hvis man ikke har tillid og åbenhed. Vi ved jo slet ikke, hvad der ligger på sådan en PC, der har været ramt af f.eks. ransomware,” forklarer Kim Larsen.
Han gør meget ud af, at det ikke er ham som sikkerhedschef, der skal skabe sikkerheden.
”Det er en fælles opgave for alle medarbejdere, og hvis jeg bare lavede en liste med 30 forbud, så kunne jeg være ret sikker på, at det havde den effekt, at nogen ville prøve at bryde reglerne. I stedet er målet at inddrage folk, så vi gennem fælles ejerskab får en virksomhed, hvor IT-sikkerhed er en del af vores kultur og DNA,” siger Kim Larsen.
”Det sker nok en gang om ugen, at en medarbejder ringer eller kommer forbi afdelingen med noget der kunne være phishing eller ransomware. Og det er helt afgørende, at de fortsætter med det, for det er dét, der kan redde os.”
Tom Engly, Koncernsikkerhedschef, Tryg
Ransomware-offer kom med i vores war-room
Hos Tryg har koncernsikkerhedschef Tom Engly i et par årtier arbejdet med bl.a. IT-sikkerhed, og han er ikke i tvivl om, at det er medarbejderne, der er afgørende for at holde de kriminelle ude.
I en årrække har man arbejdet fokuseret på at uddanne medarbejderne, blandt andet ved at udsende ”interne” phishing mails, der skal teste om medarbejderne kan gennemskue, hvilke links de ikke skal klikke på.
TRE GODE RÅD FRA SYSTEMATICS SIKKERHEDSCHEF KIM LARSEN
\ Uddan medarbejderne: Hjælp dem, så de ved, hvad de skal holde øje med.
\ Gør det synligt: Sørg for, at folk ved, hvor de skal henvende sig – også hvis de har lavet fejl.
\ Hold det levende: Kommunikér når der er noget aktuelt og gør det hele tiden til en del af virksomhedens DNA.
”Målet er ikke at hænge nogen ud, men at lære folk, hvad det er for typer af fælder, de skal passe på,” understreger han.
I 2015 blev Tryg ramt af et ransomwareangreb, og det gav anledning til at inddrage den medarbejder, som havde været uheldig og klikke på en vedhæftet fil.
”Vi inviterede faktisk ham ned i vores ”war room”. Han blev overrasket over alt det, han havde sat i gang. Den oplevelse tog han med tilbage i organisationen og var dermed med til at formidle, hvor galt det kan gå og, hvor vigtigt det er for os alle sammen at passe på, fortæller Tom Engly.
Det helt afgørende for ham er stadig, at medarbejderne har tillid til, at de ikke bliver hængt ud, og straks tager fat i de rigtige folk, når de oplever noget, der kunne være et angreb.
”Det sker nok en gang om ugen, at en medarbejder ringer eller kommer forbi afdelingen med noget, der kunne være phishing eller ransomware. Og det er helt afgørende, at de fortsætter med det, for det er dét, der kan redde os,” understreger Tom Engly.
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.