Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hvis du som sikkerhedsekspert eller it-ansvarlig blot siger “nej” uden yderligere begrundelse til kollega, som gerne vil udføre en handling via en tredjepartstjeneste, er der en sandsynlighed for, at handlingen alligevel vil blive udført.
Det vil i mange tilfælde ske via en gratis cloud-tjeneste, som du ikke har kontrol over eller indsigt i – såkaldt skygge it.
Hvis det sker, risikerer I, at interne data bliver opbevaret på ubestemt tid på cloud-servere et ukendt sted i verden, hvor tredjeparter potentielt kan tilgå eller kompromittere data.
Desuden vil I heller ikke have nogen indikation af, hvor meget data, der er blevet eksponeret, hvor længe og af hvem.
Selv om du som it-sikkerhedsekspert affejer en kollegas spørgsmål med et godt gammeldags “nej”, vil problemet ikke forsvinde.
Det underliggende problem forsvinder nemlig ikke af den grund. Tværtimod kan et mindre problem vise sig at være den gnist, der udløser jeres næste alvorlige sikkerhedshændelse.
For at undgå den akavede tavshed, jeg nogle gange møder, når vi rykker ud og spørger it-afdelingen efter årsagerne til en hændelse, har jeg skrevet nogle råd til it-sikkerhedseksperter:
1. Virksomheder har brug for detektiver – ikke vagter
I stedet for at se dig selv som en vagt, der håndhæver virksomhedens sikkerhedspolitikker, skal du i højere grad betragte dig selv som en detektiv.
Du er nødt til at undersøge, hvorfor der er behov for den efterspurgte tjeneste og forklare, hvilke kort- og langsigtede risici den kan medføre.
Ved at gå nysgerrigt til værks og stille opklarende spørgsmål kan du afdække de grundlæggende årsager til efterspørgslerne.
Hvis du ignorerer årsagerne til, at visse efterspørgsler lander på dit bord, kan det have potentielt alvorlige konsekvenser.
2. Tilgængelig er nøgleordet
Vær tilgængelig og omfavn dine kollegaers spørgsmål.
De fleste spørger, fordi de forsøger at gøre noget, der kan understøtte virksomhedens kerneydelser og mission.
Langt de fleste idéer og spørgsmål stammer fra en reel udfordring eller observation.
Derfor skal du være opmærksom på, at ikke alle i virksomheden kender truslerne eller konsekvenserne af at træffe visse beslutninger.
Jo mere tilgængelig du er, jo mere indsigt opnår dine kollegaer i de daglige sikkerhedsovervejelser.
3. Lyt oprigtigt efter
Lyt til dine kollegaers spørgsmål i stedet for blot at vente på, at samtalen slutter.
Lyt oprigtigt efter, for det er dine kollegaer, der ligger inde med den konkrete viden om, hvordan tingene fungerer eller kan forbedres.
Hav en respektfuld tilgang, mens du undersøger, hvad de baserer deres observationer på. Det gør det lettere at identificere, hvad du kan gøre for at foretage de nødvendige ændringer.
Ved at lytte oprigtigt, undgår du også, at dine kollegaer devaluerer it-sikkerhed og tager sagen i egen hånd.
Der er nemlig intet så potentielt ødelæggende som en kollega, der er holdt op med at stille spørgsmål til it-sikkerhed.
4. Vær konstruktiv og informativ
It-sikkerhed handler om at beskytte virksomheden mod økonomiske, driftsmæssige og imagemæssige skader.
Derfor er it-sikkerhedseksperter nødt til at forklare relevante trusler og hvordan it-kriminelle forsøger at udnytte smuthullerne i sikkerhedssystemerne.
Fortæl dine kollegaer, hvordan de kan hjælpe med at reducere risikoen for angreb, og hvordan de kan være en aktiv del af jeres forsvarsværn.
Det er min erfaring, at mennesker elsker at tilegne sig ny viden – især hvis det har noget at gøre med deres daglige arbejde.
Det kan også være gavnligt at forklare, hvilke sikkerhedsmæssige overvejelser, der overordnet bliver diskuteret.
Dine kollegaer vil ikke kun sætte pris på din åbenhed, men vil også have en bedre mulighed for at reflektere over sikkerhedsspørgsmål og finde nye måder at tilføre værdi til virksomheden på – uden at det resulterer i kompromitterende adfærd.
5. Undgå positionskampe
Alle har sit respektive ekspertiseområde, og vi bør respektere hinandens arbejde og ansvar.
Men desværre kan it- og sikkerhedspolitikker gennemtvinge en bestemt måde at tænke og handle på, hvilket i nogle tilfælde bidrager til positionskampe mellem kollegaer eller afdelinger.
Sørg for at holde diskussionerne faktabaserede, og prøv at holde følelser og stigmatiseringer på et så lavt niveau som muligt.
I sidste ende bør alle arbejde mod det samme mål. At forsøge at få en specifik afdeling til at se dårlig ud, gør ikke ens egen afdeling bedre.
6. Respekter virksomhedskulturen
Det er vigtigt at have tillid til sine kollegaer, og det er en afgørende del af ethvert job.
Dog skal man huske, at tillid ikke kan være en sikkerhedsmodel i sig selv.
Uanset hvilke sikkerhedsinitiativer, som bliver igangsat, skal de tage hensyn til virksomhedskulturen. For hvis du forstår og indtænker virksomhedskulturen, når du træffer sikkerhedsmæssige beslutninger, vil det gavne alle medarbejdere.
Den bedste sikkerhed er nemlig usynlig, da den er en integreret del af alle ansattes hverdagsadfærd.
Jobbet som it-sikkerhedsekspert bliver kun mere komplekst i takt med, at angrebstaktikker som bl.a. social engineering bliver mere avancerede. Det vil utvivlsomt føre til flere spørgsmål fra hjælpsomme kollegaer uden din ekspertviden.
Jeg håber derfor, at disse råd kan give anledning til refleksion over egen rolle – jeg har i hvert fald selv oplevet den positive ændring, det kan medføre.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.