Er ledelsen den største trussel mod it-sikkerheden?

Vi hører ofte, at medarbejderne er den største trussel mod virksomhedernes it-sikkerhed. Men det er en fejl at se det på den måde, da det lægger fokus på medarbejderen som et problem, der skal fixes.

Faktisk er det ofte hos ledelsen, den er gal, fordi de simpelthen ikke prioriterer eller sætter ressourcer nok af til at arbejde med it-sikkerhed, herunder hvordan it-sikkerheden passer ind i medarbejdernes hverdag. Der bliver ofte stillet for urimelige krav.

Konsekvensen er, at medarbejderne ikke lever op til it-sikkerheden og derfor vælger at omgå sikkerhedspolitikken for at kunne udføre deres arbejde.

Glem ikke den menneskelige faktor

Problemet er, at man ikke tager højde for, at sikkerhed tager tid og går fra medarbejdernes primære arbejdsopgaver.

Man glemmer at tage den menneskelige faktor seriøst. Medarbejdere gør det, der virker for dem. De fleste bryder ikke sikkerhedsprocedurerne, fordi de er ligeglade. De gør det, fordi sikkerhedspolitikken står i vejen for, at de kan udføre deres arbejde tilfredsstillende.

Et eksempel er, hvis man har en politik, der siger, at medarbejderne ikke må bruge Dropbox. Men hvis det samtidig er den eneste måde, man deler data med samarbejdspartnere, så stiller man medarbejderne i et dilemma. Skal de overholde politikken eller potentielt miste en samarbejdspartner? Har man omvendt en politik for, hvordan man håndterer afvigelser fra sikkerhedspolitikken, så kan det være med til at minimere risikoen.

Striks sikkerhed kan være kontraproduktiv

Det ser rigtig godt ud på papiret at have en striks sikkerhedspolitik, men det kan også have nogle uheldige konsekvenser. Det kan bl.a. føre til skygge-it, altså anvendelse af it-systemer og værktøjer, der ikke er sanktioneret af virksomheden.

Det giver dårligere sikkerhed, da man ikke er opmærksom på disse. Stiller man omvendt mere lempelige og realistiske krav, er der større chance for, at medarbejderne overholder dem.

Dermed får man en bedre sikkerhed i den sidste ende til trods for en – på papiret – mindre striks sikkerhedspolitik.

Inddrag medarbejderne

Det handler derfor ikke kun om, at medarbejderne skal overholde bestemte procedurer. Man skal i langt højere grad se på, hvordan man inddrager medarbejderne og tænker deres arbejdsopgaver ind.

Generelt bør basal menneskelig opførsel fylde meget mere i den måde, man tænker it-sikkerhed i organisationer og virksomheder.

Det skal komme nedefra, og man skal forstå, hvad det er for en virkelighed, som medarbejderne står i. Man skal inddrage dem og forstå, hvad det er for nogle udfordringer, de står med i forhold til gældende sikkerhedsprocedurer, når de udfører deres arbejde.

Det med at blive ved med at fortælle dem, at de skal gøre noget, som forhindrer dem i deres arbejde, er ikke vejen frem.

Man får først en god it-sikkerhed, når man tænker det menneskelige aspekt ind og tager det seriøst.

Digitalisering uden buzzwords? Her får du et gratis whitepaper med 5 gode råd og 10 konkrete erfaringer: Indfri dit digitale potentiale

Sig din mening

*