Klumme: Den menneskelige faktor

Langt de fleste af de senere års sikkerhedsbrister skyldes mennesker, skriver Brian Mertz Pedersen.

Året 2003 synes at være året, hvor fokus for IT-sikkerhed rettes mod medarbejderne i erkendelse af den menneskelige faktors afgørende betydning. I en artikel under overskriften "IT-sikkerhedschefens nytårsfortsætter - De ti bud" på Safe2Day.dk den 8. januar er første bud formuleret: "Mennesker er den største sikkerhedsrisiko i enhver sikkerhedskæde. Jeg vil derfor bruge ressourcerne på at bearbejde adfærd, holdninger og informationer".

Samtidig er det en del af kommissoriet for det nye Råd for IT-sikkerhed, at der skal igangsættes målrettede kampagner med henblik på at skabe en bevidsthed om IT-sikkerhed. Jeg kan kun tilslutte mig målsætningen og mener tillige, at det er på tide, at fokus rettes mod den menneskelige faktor.

Langt de fleste af de senere års sikkerhedsbrister skyldes mennesker. Det er mennesker, der åbner og aktiverer orme skjult i filer, det er mennesker, der følger anbefalingerne i hoax-vira og af egen kraft sletter vitale filer på computeren, det er mennesker, der downloader inficerede programmer eller mp3-filer, blandt andet gennem de populære men risikable peer-to-peer programmer, det er mennesker, der vælger alt for simple adgangskoder til IT-systemer og klæber dem op på skærmen og endelig er det mennesker, der sender følsomme oplysninger i åbne e-mails.

Det er dog samtidig også mennesker, som kan ændre adfærd gennem en målrettet indsats. Der er imidlertid flere dansere i den tango, der hedder god IT-sikkerhed i virksomheden.

Sikkerhed er et ledelsesansvar

Dansk Industris IT-sikkerhedsudvalg og branchefællesskabet ITEK har derfor i en anbefaling opfordret til, at ikke kun teknikerne indblandes, når sikkerheden i virksomheden skal vurderes. Det er mindst ligeså vigtigt at inddrage lederne og virksomhedens HR-ressourcer. Lederne fordi det ganske simpelt er uansvarligt som leder ikke at være velorienteret om IT-sikkerheden i virksomheder, der har væsentlige dele af værdierne bundet i IT-systemer.

Fastlæggelsen af niveauet for IT-sikkerhed er ikke et anliggende for IT-afdelingen. Det er uomgængelig et ledelsesansvar, som kræver konstant opfølgning. IT-afdelingens opgave er at føre sikkerhedsambitionerne ud i livet. Og netop i denne sammenhæng kan virksomhedens HR-ressourcer, som en tredje gruppe, med fordel involveres. At implementere sikkerhedspolitikker i en virksomhed kræver kommunikation.

Medarbejderne skal ikke blot kunne afgøre om en firewall eller antivirus-programmet er aktivt men tillige forstå, hvorfor det er bydende nødvendigt og vigtigt af hensyn til virksomhedens levevilkår. Desuden skal de vide, hvorfor internettet skal anvendes med omtanke i en tidsalder, hvor sikkerheden er en uklar størrelse. Ligeså vel som vi færdes mere forsigtigt i trafikken, når det er sneglat, må vi løfte foden fra speederen i den hasarderede brug af internettet, ellers ender vi alt for nemt i rabatten.

Kontroller ikke medarbejderne - men undersøg deres viden om IT

Ved siden af alle de sikkerhedsprodukter, som hjælper os i hverdagen med at holde farerne fra døren og kommunikerer sikkert over internettet, skal vi altså arbejde på at udbrede en vidende og ansvarlig adfærd hos alle medarbejdere. Der er flere veje dertil, men for mig at se gøres det blandt andet gennem en øget profilering af IT-afdelingerne. I Danmarks Radio gennemførtes sidste år en charmeoffensiv med oplæg i de enkelte afdelinger, og det har bevirket at medarbejderne i langt højere grad gør brug af IT-afdelingen i tvivlstilfælde.

Jeg tror ikke på kontrol af medarbejdernes aktiviteter, fordi det medfører mistillid og ikke er fremmende for et godt arbejdsklima. Men der kunne med fordel gennemføres undersøgelser af medarbejdernes viden om IT og på den måde rykke ved egenopfattelsen af vidensniveauet. Kan medarbejderne identificere risici og følge en procedure i tilfælde af problemer? Er virksomheden i højrisikogruppen med det vidensniveau og den adfærd der p.t. findes i virksomheden?

Under forudsætning af opfølgning med information og uddannelse kunne det være et led i en målsætning om at udbrede og fastholde en høj IT-sikkerhedskultur i en organisation. Derved bliver medarbejderne i sig selv en IT-sikkerhedsressource og sikkerheden i højere grad et kollektivt ansvar og ikke blot noget, som de i forvejen overbelastede IT-ansvarlige i virksomheden skal udsprede.

Om 2003 bliver året, hvor IT-sikkerhed kommer til at udgøre en del af rygmarven hos landets virksomhedsledere og medarbejderne er uvist, men sikkert er det i alle fald, at truslens vinde vil blæse med uformindsket styrke.

Brian Mertz Pedersen er koncerndirektør i sikkerhedshuset EuroTrust A/S.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere