Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. maj 2004.
I Jyske Bank startede man fra toppen, da vigtigheden af it-sikkerhedspolitikken skulle bankes ind.
I Jyske Bank findes to it-sikkerhedspolitikker. Den ene holder 100 procent i retten. Den anden kan forstås og bliver forstået. Humor er lagt på som sukkeret, der får pligtpillen til at glide ned.
- It-sikkerhed i sig selv "sælger ikke billetter", siger afdelingsdirektør Torben Anholm, der har ansvaret for it-sikkerhed i Jyske Bank, som begrundelse for, at der også er udviklet en slags alternativ sikkerhedspolitik. For at få folk i "biografen" til det tørre emne, der typisk handler om begrænsninger i hverdagen, skal man byde på en ganske speciel "forestilling", tilføjer han.
At den officielle sikkerhedspolitik har behov for et supplement forklares også således:
- I et pengeinstitut skal sikkerhedspolitikken godkendes af bestyrelsen, og det er nødvendigt at bruge særligt sprog, selv om det ikke er lige nemt at huske i dagligdagen. Det juridiske sprog skal bruges for at undgå risikoen for misforståelser. Men til den daglige brug har vi så omformuleret en del ting, siger Torben Anholm.
Opskriften er måske værd at efterligne. I sikkerhedskredse nævnes Jyske Bank som et af de sjældne eksempler på, at it-sikkerhedspolitikken kravler ind under huden på de ansatte - at den fattes og efterleves.
Torben Anholm giver et eksempel på, hvordan de to politikker adskiller sig fra hinanden. I den officielle politik står blot, at de ansatte ikke må benytte webmail.
Regler med mening i
- I vores alternative sikkerhedspolitik forklarer vi, hvorfor vi har indført et forbud, i stedet for blot at give et diktat. Folk skal forstå behovet for reglerne, for ellers bliver regelsættet meningsløst. De er jo vant til at bruge webmail i en eller anden form derhjemme eller i skolen, siger Torben Anholm.
Jyske Bank kørte sidste år en såkaldt awareness-kampagne - en indsats, der skulle øge bevidstheden over for sikkerhedspolitikken. Logoet for kampagnen blev en sikkerhedsnål ud over det almindelige. Banken fik fremstillet et halvanden meter høj eksemplar.
- Vigtigt er det, at vi startede fra toppen. Først stod direktionen for tur, og vi fik en blåstempling, siger Torben Anholm.
Dernæst tog sikkerhedsfolkene ud på en slags "Road show" med deres budskab. Lederne blev samlet regionalt, hvor de blandt andet så en stump film og blev heglet igennem, også med tør teori om, hvad it-sikkerhed er. Hvad man må og ikke må. Og så kom turen til de ansatte.
Når afdelingsdirektøren adspørges om udbyttet af kampagnen, lyder svaret:
- En af effekterne, vi har set, er, at vi i sikkerhedsfunktionen får flere henvendelser. Tidligere hørte vi kun fra folk, når de havde glemt en kode eller skulle have rettigheder til systemadgang. Nu spørger folk, inden de gør noget, hvor den tidligere holdning måske var mere i retning af "hellere forgøre sig end forspørge sig."
Banken har også sikret, at konsekvensen af at bryde it-sikkerhedspolitikken står lysende klart. Man har sidestillet det med at bryde kreditpolitikken, som fastslår, hvad man må og ikke må, når der skal bevilges kredit.
- Kreditpolitik forstår bankfolk, hvad er. Det er alvor. Det er, at direktionen kommer efter os, fortæller Torben Anholm, der nævner Leif F. Larsen, bankdirektøren, der også har ansvaret for it-området, som ophavsmand til sidestillingen.
Den betyder, at overtrædelser kan få "ansættelsesmæssige konsekvenser".
- Vi har ikke smidt nogen ud på grund af brud på it-sikkerheden og har heller ikke haft nogen sag, hvor det var tæt på. Hidtil er det blot blevet til en drøftelse mellem lederen og den pågældende medarbejder, siger Torben Anholm.
Opfølgning i tænkeboks
Der skal snart følges op på kampagnen, men endnu er man i tænkeboks.
- Udfordringen er nu at finde nye emner at tage op og at finde nye metoder til at få budskabet ud. Sikkerhed er jo ikke et produkt, men en konstant løbende process, også fordi trusselsbilledet hele tiden ændrer sig, siger afdelingsdirektøren.
Men et tilbud, der tilgodeser behovet for viden, når det gælder privatlivets pc'er, er med til at holde ild under kedlen. It-sikkerhedsafdelingen fik udviklet en hjemmeside på intranettet med overskriften Siksnak, hvor der gives gode råd, for eksempel når nye vira hærger. Og det er også fra den side, at medarbejderne finder et link til et websted, hvorfra de kan downloade en gratis firewall derhjemme.
- Vi har gjort en del ud af Siksnak, for det er noget, folk kan forholde sig til, og så kommer de løbende ind og ser også sikkerhedssiden med de arbejdsmæssige budskaber, siger Torben Anholm.
Billedtekst:
En kæmpe sikkerhedsnål, specielt fremstillet til Jyske Bank, blev det opsigtsvækkende logo i kampagnen, fortæller afdelingsdirektør Torben Anholm (i midten), der tilskriver sine to sikkerhedskonsulenter Søren Germansen (t.v.) og Ronni Hammeraa æren for kampagnens humoristiske tilsnit. Foto: Jørgen Ploug
Billedtekst:
Overskriften "Er du løs på tråden" på intranet-siden med it-sikkerhedsemner skal lokke Jyske Banks ansatte til at læse om de sikkerhedsproblemer, der er ved brug af trådløse net.
Boks:
Fakta om banken
Jyske Bank, der blev grundlagt i 1967, er landets tredjestørste pengeinstitut. Banken har godt 3.500 ansatte, 120 afdelinger i Danmark, 220.000 aktionærer og en egenkapital på 7,8 mia. kr. Blandt datterselskaberne ses Silkeborg Datacentral med 100 medarbejdere. Den har en lang række amter som kunder på et lønsystem.
