På vej til job kommer du i tanker om, at du skulle have morgenbrød med i dag.
Du kaster bilen ind foran den første bager, du kommer forbi, springer ud, undgår lige at blive ramt af en cykel, og løber ind og køber brød.
I den ulåste bil ligger din laptop i sin lædertaske på bagsædet.
Er dette dig? Så udgør du sandsynligvis en trussel for informationssikkerheden på din arbejdsplads.
Når du ikke låser bilen, foretager du en lynhurtig risikovurdering:
Der er en risiko for, at bilen eller pc'en i den bliver stjålet.
Men da du regner med at være hurtigt tilbage, anslår du risikoen for at være så lille, at du roligt kan droppe besværet med at finde nøglerne frem.
Dermed viser du også, at du har den grundlæggende holdning, at det er OK at nedprioritere sikkerhede, og det er derfor, jeg siger, at du udgør en potentiel trussel mod sikkerheden.
Det vigtigste element i enhver sikkerhedspolitik er det menneskelige:
Vi kan indføre nok så mange tekniske og procesmæssige foranstaltninger, men hvis medarbejderne ikke følger reglerne, hjælper det ikke noget.
Klikker du?
Et angreb kan være rettet direkte mod jeres virksomhed. Angriberne samler viden om jer fra nettet. Derefter sender de dig en e-mail, der foregiver at komme fra en navngiven medarbejder i virksomheden, for eksempel i bogholderiet.
Mailen beder dig tjekke, at rejseudgifterne i det vedlagte PDF-dokument er korrekte.
Hvordan reagerer du?
Sandsynligvis åbner du PDF'en. Hvis din virksomhed har styr på opdateringerne, kan historien stoppe her:
PDF'en prøver at udnytte en sårbarhed i Adobe Reader, men du kører nyeste version, hvor sårbarheden er fjernet.
Bruger du derimod en sårbar Reader, bliver pc'en inficeret.
Her er det kombinationen af en sårbar teknologi og en uheldig indstilling hos medarbejderen, der kompromitterer sikkerheden.
Hvis du havde haft en mere skeptisk indstilling, ville du måske lige ringe til kollegaen i bogholderiet for at høre, om det nu også kunne passe.
De tre mål
Denne udfordring har alle danske virksomheder: Hvordan lærer vi medarbejderne sikker adfærd?
Et udbredt middel er awareness-kampagner.
Via eksempler og konkrete opgaver lærer man medarbejderne, hvilke trusler der findes, og hvordan de kan beskytte sig mod dem.
Inden for uddannelse taler vi traditionelt om tre forskellige mål med undervisningen: Man kan bibringe eleverne en viden.
Man kan lære dem færdigheder - hvordan de gør noget bestemt. Eller man kan ændre deres holdning.
Sværhedsgraden stiger for hvert mål. Det sidste er langt det sværeste.
Uddannelse i sikkerheden skal omfatte alle tre mål:
Medarbejderne skal få viden om trusselstyper.
De skal oplæres i færdigheder: Hvordan genkender de en phishing-mail?
Hvordan skelnes en falsk virusadvarsel fra en ægte?
Og endelig skal deres holdning til sikkerhed skærpes: De skal overbevises om, at det er rigtigt at overholde sikkerhedspolitikken, selvom det kan gøre hverdagen mere besværlig.
Kræver menneskekendskab
Til at videregive viden om aktuelle trusler kan en it-medarbejder med speciale i sikkerhed måske være egnet.
Men når det gælder bearbejdelse af holdninger, er en tekniker som regel det forkerte valg. Det handler om psykologi og menneskekendskab.
Jeg anbefaler, at man allierer sig med medarbejdere fra HR-afdelingen. Alternativt kan man søge efter en ekstern konsulent med erfaring i holdningsbearbejdelse.
Husk også, at det ikke er nok at undervise de nyansatte.
Alle medarbejdere skal løbende holdes opdateret med ny viden.
Og deres holdninger har helt sikkert også godt af at blive genopfrisket.
I en travl hverdag glemmer vi let sikkerheden til fordel for bekvemmeligheden.
Kultur fra top til bund
Informationssikkerhed er i høj grad et spørgsmål om kultur.
Hvis hensyn til sikkerheden er indarbejdet i kulturen, falder det medarbejderne naturligt at opføre sig sikkert.
Derfor skal både topledelse og mellemledere opføre sig forbilledligt, når det gælder sikkerhed.
Hvis medarbejderne mærker, at deres chefer ikke tager sikkerheden alvorligt, gør de det heller ikke selv.
Så uddannelsen skal ikke kun være rettet mod de menige medarbejdere.
Den skal omfatte alle fra piccolinen til den administrerende direktør.
De er lige vigtige, når det gælder om at beskytte virksomhedens informationer.