Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Der er meget fokus på it-sikkerhed. Og med god grund. Der findes ikke den virksomhed i dagens Danmark, der ikke er afhængig af it, og hvor et hacker angreb kan forårsage stor skade. Derfor er det absolut positivt, at mange virksomheder mander op på sikkerhedsfronten og blandt andet iværksætter træning for deres medarbejdere – de såkaldte awareness-programmer.
På det seneste har vi i medierne set eksempler på, hvordan både private og offentlige organisationer med større eller mindre succes har gjort brug af disse programmer.
Awareness-programmer går i al sin enkelhed ud på at lære medarbejderne at være opmærksomme på trusler, så de kan undgå at falde i de fælder, it-kriminelle sætter for dem.
Men det handler også om fornuftig it-adfærd generelt, og hvordan man mest hensigtsmæssigt håndterer et potentielt brud.
De fleste awareness-programmer begynder med en test med henblik på at afsløre fejl og uvidenhed hos medarbejderne.
Herefter iværksætter man så et træningsforløb, der fokuserer på netop de svagheder medarbejderne udviste i testresultatet.
Så tester man igen. Og her skulle antallet af medarbejdere, der hopper i de fælder, man stiller for dem, gerne være reduceret i forhold til den første test.
Sådan kan man blive ved, indtil man opnår det ønskede resultat – nemlig nul.
Men du går aldrig i nul
Men her er det så, at mange fejler i awareness-processen. Du når nemlig aldrig nul. Der vil altid være nogle medarbejdere, der klikker på links, åbner vedhæftede filer eller begår andre fejl.
Det er ikke fordi medarbejderne er dumme. Det skyldes simpelthen vores natur – eller det som nogen kalder for vores abehjerne. Abehjernen er ikke styret af fornuft og læring, men af instinkter.
Det betyder, at den ikke er modtagelig for rationale, policy og sund fornuft – alt det de fleste awareness programmer baserer sig på.
Derfor vil jeg vove den påstand, at med en tilpas snedig fremgangsmåde, kan man få selv CIO’en til at klikke, hvor der ikke skal klikkes, åbne det, der ikke skal åbnes eller begå andre fejl.
Hvad nytter awareness-programmer?
Hvorfor så bruge tid og penge på awareness-programmer, vil nogen nok spørge.
Men hov stop lige op her, og gå tilbage til udgangspunktet for programmet og tjek formålet igennem igen.
For det handler jo også om at lære at håndtere potentielle brud bedst muligt.
Alle, der beskæftiger sig med it-sikkerhed ved, at en af de vigtigste faktorer for at begrænse omfanget af et potentielt databrud, virusangreb eller lignende er tid.
Jo længere tid der går, før bruddet bliver opdaget og stoppet, jo mere kan det nå at brede sig i systemet.
Der findes mange eksempler på brud, der kunne være begrænset til nogle få maskiner eller en enkelt afdeling, men som har vokset sig så store, at de har fået vidtrækkende, økonomiske konsekvenser for den ramte virksomhed.
Hvis jeg var ansat i en virksomhed, der forventede, det kun var idioterne, der efter tredje test begik fejl, så ville jeg nok holde det for mig selv, hvis jeg var den uheldige.
Jeg ville sidde helt stille og bare håbe på, at bruddet ikke kunne spores tilbage til min computer. Nogle steder trues der oven i købet med fyringer.
Her må man nok forvente, at sikkerheden, for at ingen frivilligt træder frem, er direkte proportional med sikkerheden, for at man aldrig når nul-fejl-resultatet.
Lyder denne attitude hensigtsmæssig for virksomhedens generelle it-sikkerhed, som jo er den, man sammen med medarbejderne arbejder på at højne? Nej vel.
Fejl bør kunne være en del af en aktiv arbejdsindsats
Forestil dig derimod, at du er ansat i en virksomhed, hvor man accepterer, at fejl er en del af en aktiv arbejdsindsats. Og at det i højere grad handler om at identificere og løse problemerne – og helst så hurtigt som muligt. Så er det nok mere sandsynligt, at man træder frem og fortæller, hvad man ved og dermed får sat en stopper for angrebets omfang.
Jeg siger ikke, at folk bare skal klikke løs, åbne alt hvad de modtager, sende ting ukrypteret, eller hvad man ellers kan forestille sig. Det primære formål med et awareness-program er naturligvis at lære medarbejderne en fornuftig og ansvarlig it-adfærd.
Men det gælder også om at udvise hurtig reaktion, når brud og fejl opdages – uanset om det er dig selv eller en kollega, der har begået fejlen.
Det er derfor absolut anbefalelsesværdigt, at en del af den politik, der udstikkes som opfølgning på en awareness-kampagne, handler om at opfordre medarbejderne til åbenhed og til at handle hurtigt, når en fejl opdages.
Det er vigtigt, at det fremgår klart og tydeligt, hvordan det ønskede forløb i forbindelse med et brud og resultatet heraf skal se ud.
Måske har der aldrig været tale om hverken fyring eller andre konsekvenser. Men alene uvidenheden kan afholde medarbejderne fra at træde frem, ligesom usikkerheden kan være en stressfaktor i hverdagen.
Så en udgangsbøn herfra skal være den, at de it-sikkerhedsansvarlige i højere grad fokuserer på målet for awareness-kampagnen: Nemlig en højere it-sikkerhed. Og at man slækker lidt på heksejagten på den ’skyldige’ medarbejder.
I stedet bør man arbejde hen imod det faktum, at jo hurtigere detection, des hurtigere løsning. Shit happens. Face it! Og håndtér det på den mest fornuftige og menneskelige måde.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.