Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 31. oktober 2003.
Det er ikke nok at skrive retningslinier for sikker it-brug blandt medarbejderne i personalehåndbogen. Et awareness-program kan få de ansattes øjne op for risikofaktorerne. Flere virksomheder har taget dem til sig.
KOMMUNIKATION
Hvad skal man med en it-politik, hvis ingen bruger den? Det spørgsmål kunne man også stille om strategier, programerklæringer og målsætninger i al almindelighed, for vejen til helvede er som bekendt brolagt med gode intentioner.
Virksomhederne har erkendt, at deres forretning - og i grelle tilfælde overlevelse - står og falder med, at grimme folk ikke kan komme ind på serverne og ødelægge systemerne. En it-politik har efterhånden de fleste, men det er de ansatte, som til daglig er det vigtigste værn mod vandalerne. Derfor skal formuleringerne også kunne omsættes i noget praktisk for de ansatte: En it-politik i en personalehåndbog på en støvet hylde er intet værd.
- Vi har en formuleret it-politik på de fleste områder, og den ligger i personalehåndbogen, som hver medarbejder får en papirkopi af, når de bliver ansat, og skriver under på, at de har læst. Når det så er sagt, hjælper det ikke det fjerneste at skrive det ned i personalehåndbogen: Det skal aktivt ud til medarbejderne, og der skal skabes bevidsthed om, hvad der er farligt, siger Steen Jensen, it-chef i grossistvirksomheden Bogpa.
Bogpa er gået i gang med et såkaldt awareness-program, der skal skærpe medarbejdernes fornemmelse for sikkerhed.
- Det er helt nødvendigt. Vi kommunikerer meget med Østen, og der kommer mange virus derfra. Derfor skal vi hele tiden sørge for, at brugerne er opmærksomme på farerne, siger Steen Jensen.
Sikkerhed kræver uddannelse
En undersøgelse fra Dansk Handel & Service viser, at 77 procent af medlemsvirksomhederne har en personalehåndbog, og halvdelen har en it-politik.
- Problemet er bare ofte, at ingen kender den og lederne kan måske dårligt huske den. Hvis it-politikken ikke kommunikeres ordentlig ud til medarbejderne, kan man ikke forvente, at den bliver brugt, og så ryger hele pointen. Det er vigtigt, at medarbejderne ved, hvad der forventes af dem, og hvad politikken går ud på. Det kan være en kombination af enten personalemøde, afdelingsmøde eller e-mailrundskrivning, mener Kira Johnson, udviklingskonsulent hos DH&S.
Den første fejl, mange virksomheder begår, når de har formuleret en it-politik, er at ordene i teksten ikke er praktisk anvendelige for brugerne, mener Peter Vestergaard, teknisk chef og underviser i it-sikkerhedsfirmaet Protegeo.
- Det er ikke gjort med at lade et revisionsselskab lave en forkromet it-sikkerhedspolitik og skrive den ind i personalehåndbogen. Man bliver nødt til at spørge sig selv: Hvad er vigtigst for virksomhedens kerneforretning, og hvad kan true den? Det budskab skal kommunikeres ud på en pædagogisk måde. Og det er ikke nødvendigvis via en personalehåndbog. Vi skal væk fra den sorte skole-tankegang. Det nytter ikke at lade folk skrive under på, at de har læst personalehåndbogen og dunke dem i hovedet, hvis de ikke har. De skal uddannes - gerne på en underholdende måde - så de forstår, hvorfor it-sikkerhed er vigtig, siger Peter Vestergaard.
Det svageste led
Protego har også udviklet et awareness-program, der på en simpel måde gennemgår de sikkerhedselementer, som brugerne må forholde sig til dagligt. Awareness-programmer har flere virksomheder taget til sig.
- Brugerne er sikkerhedsmæssigt set det svageste led, og dem hjælper vi på vej med awareness-programmet. Det handler om at huske at låse døren og passe på vores data. Ansvarlighed, simpelthen, siger Lotte Sørensen, personalechef på Den Blå Avis, der har 200 medarbejdere, hvoraf halvdelen er timelønnede.
Hun beskriver Den Blå Avis' it-sikkerhedspolitik som et levende dokument, med nye tilføjelser hele tiden.
- It-afdelingen synes ikke, det kan blive sikkert nok, men vi er nået til et stade, hvor vi føler, vi egentlig ikke har noget at frygte - selvom vi er selvfølgelig er klar over risikoen, tilføjer hun.
Bogpas it-chef mener, at en af de største sikkerhedsrisici fra de ansatte er hjemme-pc'er og medarbejdere med bærbare computere, som bringer deres maskiner ind og ud af virksomheden.
- De kan logge sig på virksomhedens netværk, og vi har ingen kontrol med, hvem der kommer ind, siger Steen Jensen.
Eget ansvar at kende reglerne
I Coloplasts it-afdeling opfatter man ansattes installation af uautoriseret software som den største sikkerhedsrisiko. It-politikken er lagt på intranetttet, og der sendes jævnligt opdaterende mails ud ligesom aktuelle it-sikkerhedsemner omtales i personalebladet.
Den nyansatte får en cd-rom, der blandt andet indeholder it-politikken. Den ligger også som et bilag til kontrakten. Det er medarbejderne eget ansvar at kende og overholde spillereglerne.
- Vi holder øje med, at der ikke bliver sat ting til salg, der falder uden for retningslinierne, på vores interne net-markedsplads. Vi har også haft en sag med en, der kiggede på forbudte websider, og vi har måttet vi fyre et par medarbejdere, der brugte vores it-system privat til en nebengesjæft. Der er ingen undskyldning for ikke at kende reglerne, og det gør vi klart fra starten, siger kommunikationsdirektør Jens Steen Larsen.
Vi har talt med:
• Steen Jensen, it-chef, grossistvirksomheden Bogpa
• Kira Johnson, udviklingskonsulent, Dansk Handel & Service
• Peter Vestergaard, teknisk chef, Protego
• Lotte Sørensen, personalechef, Den Blå Avis
• Jens Steen Larsen, kommunikationsdirektør, Coloplast
• Mats Ingvarsson, Resource Manager, V&S Group (tidl. De Danske Spritfabrikker)
Billedtekst:
- Man skal ikke dunke medarbejderne oven i hovedet, hvis de ikke har læst virksomhedens it-politik, siger Peter Vestergaard, teknisk chef i Protego.
