VI ER IKKE SAT I VERDEN FOR AT DØMME ELLER KOMME EFTER NOGEN
”Hvis tyvene kan komme ind ad hoveddøren, så er det jo nemmest,” siger han og uddyber:
”På uddannelsen snakker vi om awareness som værktøj, og at IT-sikkerhed skal understøtte virksomheden, dens værdier og de mennesker, der arbejder i virksomheden og ikke sætte begrænsninger. Hvis man sætter for hårdt ind over for brugerne, så de ikke kan udføre deres arbejdere, så skaber det en negativ spiral, hvor de bliver sure på IT-afdelingen. Har man den tilgang, at brugerne er det svageste led, så svarer det til at sige: Alle angreb kommer fra internettet, så lad os hive stikket ud! Det er meget ukonstruktivt,” siger Michael Pedersen, som holder på, at IT-sikkerhedsfolk er sat i verden for at beskytte virksomhederne, og det kræver involvering og dialog med brugerne.
”Man skal huske på, at ude ved brugerne sker der mange ting om ørerne på dem, og hvis ikke de er 100 procent opmærksomme hele tiden – og det er de næppe – så sker de ting. Og det er man nødt til at embrace og undgå at pege fingre ad, for det kommer der næppe noget godt ud af,” konstaterer han.
KORT OM MICHAEL PEDERSEN
/ 34 år
/ Opvokset i Tjæreborg, bor i Vejle med sin kæreste
/ Uddannet datamatiker i 2013
/ Erhvervserfaring: Ansat i Forsvaret fra 2006 til 2013 og igen i en IT-stilling fra 2016-2019
/ Er tredje semester studerende på professionsbacheloruddannelsen i IT-sikkerhed på Erhvervsakademi Aarhus. For tiden i praktik hos JN Data i Silkeborg.
Når og ikke hvis
”Man må komme ud over, at brugeren er dum og kigge på, hvad brugeren har gjort og så hjælpe med at håndtere det. Måske er der ikke styr på nogle rettigheder, eller der er et dårligt netværksdesign, så når tyven kommer ind – og det er et spørgsmål om når og ikke hvis – så ligger kronjuvelerne ikke og flyder. Men det skaber en uhensigtsmæssig kultur, hvis brugerne føler sig utrygge og ikke tør sige det bagefter og fortælle, hvad der skete, hvis de har trykket på noget, og det er gået galt. Vi er ikke sat i verden for at dømme nogen eller komme efter nogen,” siger han.
For tiden er Michael Pedersen i 10 ugers praktik hos JN Data i Silkeborg, som leverer IT-drift til en stor del af den danske finanssektor. Her har han i en måneds tid fulgt manageren for cyberdefence centeret, der modtager og håndterer hændelser fra interne og eksterne brugere af systemerne, og det er lærerigt, synes han.
”Sikkerhed er en meget stor del af virksomheden, så derfor er det et rigtig godt sted at lære. Her er en stor modenhed ift. IT-sikkerhed, der er afspejlet hele vejen ned gennem organisationen, hvor man bruger mange teknologier og har implementeret IT-sikkerhed på rigtig mange niveauer,” siger han og beskriver de praktiske elementer som noget af det unikke ved erhvervsakademierne.
34-årige Michael Pedersen har brugt det meste af sin ungdom i forsvaret og tog i 2013 fat på uddannelsen som datamatiker. Efterfølgende arbejdede han tre år i en IT-stilling i forsvaret. Men da Erhvervsakademiet i Aarhus startede top-up uddannelsen som professionsbachelor i IT-sikkerhed, vidste han, at det var det, han skulle. Derfor er han en af de ældre på holdet, hvor mange af hans medstuderende kommer direkte fra de adgangsgivende uddannelser.
”Men vi har også diplomstuderende, der er i fast arbejde, som følger nogle af modulerne og kommer med indspark fra erhvervslivet, og det giver en god dynamik,” siger han.
Skruet godt sammen
”Jeg synes, uddannelsen er skruet godt sammen. Det er jo også en relativt kort uddannelse, hvor vi skal nå rigtig mange emner på halvandet år, og jeg har svært ved at se, at der er noget, man kan undvære,” siger han resolut.
Men skulle der blive plads til mere, kunne det være, hvordan man helt konkret skruer awareness-kampagner sammen og den tilhørende kommunikation omkring, hvorfor det er smart at gøre sådan og sådan, foreslår Michael Pedersen og tilføjer, at guidelines til, hvordan man bedst henvender sig til brugerne efter sikkerhedsbrud også ville være hjælpsomt.