Er ledelsen den største trusselen mot it-sikkerheten?

Vi hører ofte at medarbeiderne er den største trusselen mot bedriftens IT-sikkerhet. Men det er feil å se det på den måten, fordi det fokuserer på medarbeideren som et problem som må fikses.

Det er faktisk ofte hos ledelsen det går galt, fordi de rett og slett ikke prioriterer eller setter av nok ressurser til å arbeide med IT-sikkerhet og hvordan IT-sikkerhet passer inn i medarbeidernes hverdag. Det blir ofte stilt for urimelige krav.

Konsekvensen er at medarbeiderne ikke klarer å leve opp til IT-sikkerheten, og i stedet velger å unngå og forholde seg til sikkerhetspolitikken for å kunne utføre arbeidet sitt.

Ikke glem den menneskelige faktoren

Problemet er at man ikke tar høyde for at sikkerhetsrutiner tar tid, og denne tiden tas vekk fra medarbeidernes primære arbeidsoppgaver.

Man glemmer å ta den menneskelige faktoren alvorlig. Medarbeiderne gjør det som virker for dem. De fleste bryter ikke sikkerhetsprosedyrene fordi de er likegyldige. De gjør det fordi sikkerhetspolitikken står i vegen for at du skal kunne utføre arbeidet sitt på en tilfredsstillende måte.

Et eksempel kan være hvis man har en politikk som sier at medarbeiderne ikke får bruke Dropbox. Dersom dette samtidig er den eneste måten man deler data med samarbeidspartnere på, stiller man medarbeiderne i et en vanskelig situasjon. Skal de overholde politikken eller potensielt miste en samarbeidspartner? Dersom man endrer prosedyrene for hvordan man håndterer avvik fra sikkerhetspolitikken, kan det bidra til å minimere risikoen.

Les mer: Skyplattformer gir GDPR-frykt

Streng sikkerhet kan være kontraproduktivt

Det ser bra ut på papiret å ha en streng sikkerhetspolitikk, men det kan også ha noen uheldige konsekvenser. Det kan bl.a. føre til skygge-IT, det vil si bruk av IT-systemer og verktøy som ikke er sanksjonert av virksomheten.

Dette gir dårligere sikkerhet siden man ikke er oppmerksom på disse. Hvis man derimot stiller mer lempelige og realistiske krav, er det større sannsynlighet for at medarbeiderne overholder dem.

Dermed får man alt i alt en bedre sikkerhet til tross for en, på papiret, mindre streng sikkerhetspolitikk.

Involver medarbeiderne

Det handler derfor ikke bare om at medarbeiderne skal overholde bestemte prosedyrer. Man må i langt høyere grad se på hvordan man involverer medarbeiderne og tenker over arbeidsoppgavene deres.

Generelt bør fundamental menneskelig oppførsel være et mye mer sentralt tema når man tenker på IT-sikkerhet i organisasjoner og bedrifter.

Det må komme nedenfra, og man må forstå hvilken virkelighet medarbeiderne befinner seg i. Man må involvere dem, og forstå hvilke utfordringer de står ovenfor når de jobber i henhold til gjeldende sikkerhetsprosedyrer.

Å fortelle dem at de skal gjøre noe som forhindrer dem i utføre arbeidet sitt, er ikke vegen fremover.

God IT-sikkerhet får man først når man tar hensyn til det menneskelige aspektet og tar det på alvor.

Digitalisering uten moteord? Her får du et gratis whitepaper med 5 gode råd og 10 konkrete erfaringer: Oppnå ditt digitale potensial

Si din mening

*