Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Hele 33 procent af medarbejdere med ansvar for cybersikkerhed i alverdens virksomheder føler, at de mangler opbakning fra virksomhedens ledelse.
De føler sig isolerede i deres job. Det viser en undersøgelse fra Trend Micro blandt 1.125 beslutningstagere med ansvar for cybersikkerhed fra landene Sverige, Finland, Storbritannien, USA, Tyskland, Spanien, Italien, Frankrig, Holland, Polen, Belgien og Tjekkiet.
Selv om Danmark ikke er med i undersøgelsen, er det et billede,som jeg tydeligt genkender fra den danske it-branche. Og der sker meget få fremskridt.
43 procent siger, at deres sikkerhedsmiljø er usammenhængende og svær at holde styr på. Desuden føler 34 procent sig så pressede, at deres jobtilfredshed er faldet i løbet af de seneste 12 måneder.
Det er en udvikling, som blandt andet er et resultat af, at moderne cyberangreb er blevet både flere og mere avancerede. Uden at de cybersikkerhedsansvarlige har fået flere ressourcer.
Skal det ændre sig, er organisationen som helhed nødt til at blive mere bevidst om cybersikkerhed.
Mangelfuld intern kommunikation om cybersikkerhed
Her vil mange virksomheder sikkert sige, at cybersikkerhed allerede er på dagsordenen hos direktion og bestyrelse. Det er ikke nok.
Ser man på tallene i analysen, siger 72 procent godt nok, at cybersikkerhed er repræsenteret på bestyrelsesniveau.
Alligevel siger mange, er det ikke har nogen positiv effekt. Årsagen ser ud til at være mangelfuld kommunikation.
57 procent siger, at intern kommunikation er en af de største cybersikkerhedsudfordringer for deres virksomhed.
Ledelsen hører først efter, når angrebet har ramt
Ifølge surveyen skal der desværre tit et storstilet cyberangreb til, før ledelsen hører efter. Således siger 64 procent af de adspurgte, at det blev nemmere at blive hørt efter det storstilede WannaCry-angreb.
Det rejser spørgsmålet om, hvorvidt it-afdelingen overhovedet er i stand til at nedbryde kommunikationsbarriererne, før virksomheden er blevet udsat for et angreb?
Fordel ansvaret bedre
Det er bestemt positivt, hvis cybersikkerheden har fundet vej ind på direktionsgangen og bestyrelseslokalet. Men de fleste steder er cybersikkerhed stadig noget, “som it-afdelingen lige må sørge for”.
Som undersøgelsen viser, ligger der et stort arbejde i at få formidlet værdien i, at sikkerhedsekspertisen ikke forbliver hos nogle få personer i it-afdelingen.
Det kan hverken de, arbejdsmiljøet eller forretningen holde til.
Cybersikkerhedsekspertisen skal bredes ud til hele organisationen.
Cybersikkerhed er ikke er en isoleret disciplin, som kan parkeres i et fjernt hjørne af serverrummet.
Der skal skabes en kollektiv bevidsthed om, at selv den mest avancerede sikkerhedsløsning ikke fuldstændigt kan sikre imod målrettede hackerangreb mod individuelle medarbejdere.
Organisationen skal uddannes
En af nøglerne er uddannelse af den enkelte medarbejder. Alle skal gøres bevidste om, at en stor procentdel af alle hackerangreb skyldes medarbejdernes egne handlinger. Det forkerte klik kan komme fra alle steder i en organisation.
Ingen i virksomheden går op i datasikkerhed eller privacy, før de får at vide, hvorfor det er vigtigt, hvordan det kan påvirke dem selv, og hvad de skal gøre for at forebygge cyberangreb.
Det kan være en overvældende opgave at uddanne hele organisationen i cybersikkerhed.
Men begyndt med at øge bevidstheden omkring de største aktuelle trusler.
Det sikrer, at medarbejderne forstår, hvordan truslerne kan påvirke organisationen, og hvad den enkelte kan gøre for at sikre sig imod de aktuelle trusler.
Skab bevidsthed om hackernes strategier
Det er også essentielt at uddanne virksomhedens medarbejdere til at forstå, hvilke tiltag hackere brugere for at få succes med for eksempel et BEC-angreb.
Det er med til at udvikle medarbejdernes bevidst om, at et storstilet, målrettet angreb på en virksomhed typisk begynder med noget så simpelt som at forsøge at narre en bestemt medarbejder til at klikke på et bestemt link.
På den måde bliver medarbejderne meget bedre til at opdage mistænkelig aktivitet i de tidlige faser af et angreb.
Få hele organisationen og samarbejdspartnerne med
Man skal også være opmærksom på, at samarbejdspartnere og leverandører, som har adgang til virksomhedens it, også udgør en potentiel indgang for hackerne.
Uddannelse af alle, der har adgang til virksomhedens it-infrastruktur, bør være obligatorisk. Ellers er risikoen, lidt firkantet sagt, at eksterne partnere frit kan løbe med virksomhedens data.
Og vender vi tilbage til udgangspunktet, så er hele pointen netop, at uddannelsen inden for cybersikkerhed skal ramme bredest muligt.
Det vil beskytte virksomhedens data og forretning bedre. Men det vil også fjerne byrden fra dem, som i så mange virksomheder oplever, at de sidder alene med ansvaret, og på den måde give virksomheden gladere og bedre medarbejdere.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.