Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Det er desværre stadig de færreste virksomheder, som har fokus på den interne it-træning – til trods for, at vi har en global security awareness-måned i oktober.
Træning, hvor man uddanner og lærer virksomhedens ansatte, hvad og hvorfor de it-sikkerhedsmæssige tiltag både er vigtige, og nødvendige – til trods for, at mange forsøger at undvige dem.
Det ses tydeligt i oversigten over, hvordan it-kriminelle slipper igennem virksomhedens ellers dyrt indkøbte sikkerhedsudstyr.
På alle statistikker topper phishing, dårlige kodeord, fysiske angreb og ”social engineering.”
Det er alle angrebstyper, som kan undgås – eller i hvert fald drastisk mindskes – hvis ansatte forstår alvoren i it-afdelingens belærende ord om digital adfærd.
Og samtidig er det klart billigere at lære Ove nede fra regnskabsafdelingen om ikke at åbne mistænkelige PDF-filer, der er vedhæftet i en mail fra ”direktören.” Problemet er bare, at det bare ikke er helt så let i virkeligheden.
Syv ud af ti virksomheder udsat for angreb
Alle ansatte i din virksomhed forstår jo godt, hvorfor it-sikkerhed er altafgørende for virksomhedens fortsatte drift og overlevelse, og langt de fleste forstår også godt de tiltag og sikkerhedsforanstaltninger, som er nødvendige for at opretholde et ordentligt sikkerhedsniveau.
Desværre er intention ikke lig praksis.
De fleste tror, at de er beskyttet nok af virksomhedens software-løsninger, har for travlt i hverdagen til at følge sikkerhedspolicies og best practice, eller er naive nok til at tro, at det aldrig rammer dem.
Og det er desværre den type adfærd, som betyder, at ansatte med bedste intention falder for phishing-angreb, CEO-fraud, åbner ondsindede filer eller isætter fundne USB-pinde fra parkeringspladsen.
Sidstnævnte er et eksempel, jeg selv har oplevet ske for en svensk virksomhed, hvor den ”tabte” USB-pind på parkeringspladsen var markeret med et ”økonomi-klistermærke” samt logo på virksomheden.
Da en ansat isatte den automatisk eksekverbare USB, var virksomheden lukket ned i flere dage grundet ransomware.
En undersøgelse foretaget af Lederne viser ligeledes, at syv ud af ti virksomheder har været udsat for forsøg på angreb fra it-kriminelle de seneste to år – og alle statistikker viser en kraftig stigning efter corona-pandemien.
Det er næppe overraskende, for du som arbejder med it-sikkerhed, ved allerede, at hvis ikke allerede I har oplevet forsøg på angreb, så er det blot et spørgsmål om tid.
Færre menneskelige fejl – færre angreb
Så hvad er løsningen for at sikre en høj it-sikkerhedshygiejne? Ni ud af ti succesfulde angreb sker blandt grund af menneskelige fejl, og vores erfaring viser, at du drastisk kan reducere mængden af fejl, ved at have et stort fokus på træning.
Et godt råd er at gøre træningen så relevant og forståelig som mulig.
Tænk i dagligdagseksempler med phishing-mails eller CEO fraud målrettet jeres egen virksomhed, så de ansatte tydeligt kan se, at virksomheden allerede angribes nu. Gør det klart og tydeligt, hvad konsekvenserne er, hvis et angreb sker.
Lad dog vær med at præsentere det hele på samme tid: Det er langt bedre at præsentere sikkerhedstræningen i små sessioner med forskellige temaer over en længere periode, fordi det samtidig kan fungere om en opfrisker for tidligere træning.
Desuden er det afgørende, at sikkerhedstiltagende er så lette at benytte som muligt, og altid giver mening.
Det betyder også, at du skal målrette din træning til de forskellige medarbejdergrupperinger internt, så eksempelvis bogholderiet har en anden træning end salgsmedarbejdere.
Men vigtigst af alt: At det sker som en dialog med de ansatte. Hvis ikke de er inddraget, så ender du alt for hurtigt med, at de har de gode intentioner, men at de fastholder deres dårlige vaner.
Der findes mange på markedet, som kan hjælpe med træning, og det kan være en god ide at tage fat i hjælp udefra.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.