Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 31. marts 2006.
Når virksomhederne oplever brud på it-sikkerheden, skyldes det ofte utilsigtede handlinger hos de ansatte. Derfor skal adfærd sættes på dagsordenen, så it-sikkerheden kommer ind under huden på brugerne. Ofte er det utilsigtet, når de ansatte begår brud på virksomhedens it-sikkerhed. Derfor handler det om at sætte adfærd på dagsordenen - og sikre at brugerne har den rette forståelse.
Emne: Opgradering fra Kæreste 7.0 til Kone 1.0
"Kære Hotline. Sidste år opgraderede jeg fra Kæreste 7.0 til Kone 1.0 og bemærkede, at det nye program straks begyndte at kræve, at jeg installerede Børn 1.1, 1.2 og 1.3. Gamle programmer såsom Pokeraften 10.3, Drukfest 2.5 og Søndagsfodbold 5.0 virker ikke mere. Når jeg prøver at køre dem, får jeg beskeden: Du har begået en ulovlig handling. Luk straks alle programmer, der ikke understøttes af Kone 1.0".
Den forvirrede og frustrerede bruger
Emne: Svar fra Hotline:
"Kære forvirrede og frustrerede bruger. Kone 1.0 er et styresystem, der er designet til at styre alt. Vi anbefaler, at du beholder Kone 1.0 og får det bedste ud af situationen. Systemet vil køre helt perfekt, så længe du tager hele ansvaret for alle almindelige programfejl, lige meget hvad de skyldes. Det bedste, du kan gøre, er straks at skrive: UNDSKYLD, før styresystemet vender tilbage til normal."
Med venlig hilsen Hotline
Se dette var en vittighed. Dog blot et uddrag af den slags, som havner i indbakken efter at være blevet videresendt mellem adskillige e-mails. Nogle sletter den, mens andre bare må sende den videre til kollegaen.
Det kan ske i mange virksomheder, som det gjorde for cirka seks år siden, da en medarbejder i en ingeniørvirksomhed modtog en e-mail med et falsk og satirisk ansøgningsskema til Udlændingestyrelsen om opholdstilladelse. Han redigerede lidt i den og sendte den videre til et par kolleger, hvorefter vittigheden fortsatte sin e-mail-rejse. Netop den e-mail havnede hos en kunde. Det resulterede i en retssag om, hvorvidt racismeparagraffen var overtrådt. Desuden blev medarbejderen fyret, og på den baggrund lagde han sag an mod arbejdsgiveren.
Det udviklede sig til en stor sag i pressen og fik væsentlig betydning for såvel medarbejderen som virksomheden, der endte med at blive frikendt.
Dette er et eksempel på, at der sker brud på it-sikkerheden, fordi medarbejderne ikke tænker over deres adfærd, mener Inger Seeberg Sturm, der er juridisk konsulent i it-konsulenthuset Okon.
- Det er ikke et klassisk eksempel, som når en virksomheds it-systemer bliver angrebet af virus eller hacket. Men det er et eksempel på, hvordan virksomheden kan blive ramt på renommeet, fordi medarbejderen ikke har tænkt på konsekvensen af handlingen, forklarer Inger Seeberg Sturm, der er i gang med en markedsundersøgelse af juridiske problemstillinger i forhold til it-sikkerhed.
Mange virksomheder har lagt meget arbejde i at udarbejde en it-sikkerhedspolitik. Men den når sjældent helt ind hos medarbejderne. Når Inger Seeberg Sturm spørger it-cheferne, om deres virksomhed har en it-sikkerhedspolitik, er svaret oftest ja. Men lyder spørgsmålet, hvad målet med den er, bliver der tøvet.
- En it-chef svarede, at it-sikkerhedspolitikken var til for, at virksomheden kunne holde ryggen fri i tilfælde af, at en medarbejder skulle bortvises, fordi vedkommende havde gjort noget galt, fortæller Inger Seeberg Sturm.
70-80 procent af de hændelser, som ødelægger eller kompromitterer en virksomheds it-sikkerhed, skyldes egne medarbejdere ifølge IBM's verdensomspændende undersøgelse "Global Business Security Index Report" for 2005. Undersøgelsen er foretaget blandt 3.000 it-chefer og viser, at problemerne eksempelvis kan opstå, når hele familien anvender en hjemmearbejds-pc til private formål.
Generelt er der en tendens til, at folk passer mindre på med it-sikkerhed på
arbejdet i forhold til i privaten. Det oplever Ingrid Colding-Jørgensen,
der er it-sikkerheds-konsulent hos NNIT. De fleste går ud fra, at arbejdspladsen er så godt sikret med antivirus og firewalls, at intet kan ske.
Men det kan der.
- Der er ingen tvivl om, at det er et stort problem, hvis medarbejderne blot fortsætter med at åbne mystiske e-mails, bryder retningslinjerne for brugen af it og glemmer at tjekke, om de har taget backup, siger Ingrid Colding-Jørgensen og tilføjer, at det er ledelsen og den it-sikkerhedsansvarliges opgave at sikre, at de ansatte forstår problematikken.
Det kan eksempelvis ske gennem awareness-kampagner. Blandt rådgiverne på området er PricewaterhouseCoopers, og her peger seniorkonsulent Claus Fonnesbech på undersøgelser, der har vist, at kampagner er den sikkerhedsmetode, der er mindst implementeret i virksomhederne. Men samtidig den med størst effekt.
- En virksomhed kan investere mange penge i antivirus og firewalls samt indføre regler. Men det er svært at styre, hvad de ansatte tager med hjemmefra og sender ind på netværket - blandt andet fra deres web-mail eller USB-nøgle. Derfor handler det om at påvirke medarbejdernes adfærd, forklarer Claus Fonnesbech.
Brugerne skal lære at forstå konsekvensen af deres adfærd, mener it-sikkerhedsfirmaet Neuparts direktør Lars Neupart, der plejer at sammenligne det med den almene kendskab til færdselsloven.
- Jeg ved, at jeg skal holde mig i højre side af vejen - og stoppe for rødt. Det stiller jeg ikke spørgsmålstegn ved. Jeg har fuld forståelse for konsekvensen, hvis jeg ikke efterlever reglerne - og er derfor motiveret for at følge dem, forklarer Lars Neupart.
Han understreger, at it-sikkerhedsfolk skal lære at skabe en forståelse hos brugerne i stedet for blot at sige, hvad de må og ikke må.
I den proces nytter det ikke at storme frem med bål og brand. Man kommer meget længere med en positiv tilgang, lyder det fra rådgiverne.
- Virksomheden skal passe på med at tegne trusselbilleder. Det er ikke motiverende for medarbejderne at få at vide, at de udgør den største trussel for virksomheden, siger Inger Seeberg Sturm.
Samtidig peger hun på, at der er lang vej fra øget kendskab til efterlevelse.
- Det handler om at skabe en kultur omkring it-sikkerhed. Opnår man det, vil de ansatte også begynde at lære af hinandens opførsel, siger hun og giver et eksempel fra sit eget hus.
Okon har adresse i Århus i et stort kontorfællesskab med andre virksomheder. Blandt de ansatte er der en regel om, at der ikke tales om forretningsforbindelser uden for Okons kontorlokaler.
- Sidder vi i husets fælles kantine, og en af vores kolleger kommer til at nævne fortrolige oplysninger, får vedkommende lige et kærligt spark over benet. Det er en del af vores kultur - sådan gør vi ikke hos os, siger hun.
Billedtekst:
adfærd
Mange virksomheder har lagt meget arbejde i at udarbejde en it-sikkerhedspolitik. Men den når sjældent helt ind hos medarbejderne, mener Inger Seeberg Sturm, der er
juridisk konsulent i
it-konsulenthuset Okon.
Foto: Jeff Jørgensen
Boks:
Awareness
Københavns Universitet satte it-sikkerhed på dagsordenen hos de 35.000 studerende ved hjælp af en kampagne med syv temaer:
Passwords
Phishing
Spyware
Backup
Virus
Spam
Perimeterbeskyttelse
Der blev hængt plakater op i universitetsmiljøet og indrykket annoncer i Universitetsavisen og på universitetets hjemmeside, hvor det var muligt at klikke sig videre til it-sikkerhedsafdelingens hjemmeside med mere information om temaerne.
I løbet af dette forår vil der blive gennemført en lignende kampagne målrettet de 6.000 ansatte på universitetet. Ligesom de syv temaer vil blive gentaget i september.
OriginalModTime: 30-03-2006 14:25:05
