Året 2003 synes at være året, hvor fokus for IT-sikkerhed rettes mod medarbejderne i erkendelse af den menneskelige faktors afgørende betydning. I en artikel under overskriften "IT-sikkerhedschefens nytårsfortsætter - De ti bud" på Safe2Day.dk den 8. januar er første bud formuleret: "Mennesker er den største sikkerhedsrisiko i enhver sikkerhedskæde. Jeg vil derfor bruge ressourcerne på at bearbejde adfærd, holdninger og informationer".
Samtidig er det en del af kommissoriet for det nye Råd for IT-sikkerhed, at der skal igangsættes målrettede kampagner med henblik på at skabe en bevidsthed om IT-sikkerhed. Jeg kan kun tilslutte mig målsætningen og mener tillige, at det er på tide, at fokus rettes mod den menneskelige faktor.
Langt de fleste af de senere års sikkerhedsbrister skyldes mennesker. Det er mennesker, der åbner og aktiverer orme skjult i filer, det er mennesker, der følger anbefalingerne i hoax-vira og af egen kraft sletter vitale filer på computeren, det er mennesker, der downloader inficerede programmer eller mp3-filer, blandt andet gennem de populære men risikable peer-to-peer programmer, det er mennesker, der vælger alt for simple adgangskoder til IT-systemer og klæber dem op på skærmen og endelig er det mennesker, der sender følsomme oplysninger i åbne e-mails.
Det er dog samtidig også mennesker, som kan ændre adfærd gennem en målrettet indsats. Der er imidlertid flere dansere i den tango, der hedder god IT-sikkerhed i virksomheden.
Sikkerhed er et ledelsesansvar
Dansk Industris IT-sikkerhedsudvalg og branchefællesskabet ITEK har derfor i en anbefaling opfordret til, at ikke kun teknikerne indblandes, når sikkerheden i virksomheden skal vurderes. Det er mindst ligeså vigtigt at inddrage lederne og virksomhedens HR-ressourcer. Lederne fordi det ganske simpelt er uansvarligt som leder ikke at være velorienteret om IT-sikkerheden i virksomheder, der har væsentlige dele af værdierne bundet i IT-systemer.
Fastlæggelsen af niveauet for IT-sikkerhed er ikke et anliggende for IT-afdelingen. Det er uomgængelig et ledelsesansvar, som kræver konstant opfølgning. IT-afdelingens opgave er at føre sikkerhedsambitionerne ud i livet. Og netop i denne sammenhæng kan virksomhedens HR-ressourcer, som en tredje gruppe, med fordel involveres. At implementere sikkerhedspolitikker i en virksomhed kræver kommunikation.
Medarbejderne skal ikke blot kunne afgøre om en firewall eller antivirus-programmet er aktivt men tillige forstå, hvorfor det er bydende nødvendigt og vigtigt af hensyn til virksomhedens levevilkår. Desuden skal de vide, hvorfor internettet skal anvendes med omtanke i en tidsalder, hvor sikkerheden er en uklar størrelse. Ligeså vel som vi færdes mere forsigtigt i trafikken, når det er sneglat, må vi løfte foden fra speederen i den hasarderede brug af internettet, ellers ender vi alt for nemt i rabatten.
Kontroller ikke medarbejderne - men undersøg deres viden om IT
Ved siden af alle de sikkerhedsprodukter, som hjælper os i hverdagen med at holde farerne fra døren og kommunikerer sikkert over internettet, skal vi altså arbejde på at udbrede en vidende og ansvarlig adfærd hos alle medarbejdere. Der er flere veje dertil, men for mig at se gøres det blandt andet gennem en øget profilering af IT-afdelingerne. I Danmarks Radio gennemførtes sidste år en charmeoffensiv med oplæg i de enkelte afdelinger, og det har bevirket at medarbejderne i langt højere grad gør brug af IT-afdelingen i tvivlstilfælde.
Jeg tror ikke på kontrol af medarbejdernes aktiviteter, fordi det medfører mistillid og ikke er fremmende for et godt arbejdsklima. Men der kunne med fordel gennemføres undersøgelser af medarbejdernes viden om IT og på den måde rykke ved egenopfattelsen af vidensniveauet. Kan medarbejderne identificere risici og følge en procedure i tilfælde af problemer? Er virksomheden i højrisikogruppen med det vidensniveau og den adfærd der p.t. findes i virksomheden?
Under forudsætning af opfølgning med information og uddannelse kunne det være et led i en målsætning om at udbrede og fastholde en høj IT-sikkerhedskultur i en organisation. Derved bliver medarbejderne i sig selv en IT-sikkerhedsressource og sikkerheden i højere grad et kollektivt ansvar og ikke blot noget, som de i forvejen overbelastede IT-ansvarlige i virksomheden skal udsprede.
Om 2003 bliver året, hvor IT-sikkerhed kommer til at udgøre en del af rygmarven hos landets virksomhedsledere og medarbejderne er uvist, men sikkert er det i alle fald, at truslens vinde vil blæse med uformindsket styrke.
Brian Mertz Pedersen er koncerndirektør i sikkerhedshuset EuroTrust A/S.