Är ledningen det största hotet mot IT-säkerheten?

Vi får ofta höra att medarbetarna är det största hotet mot företagets IT-säkerhet. Men det är fel sätt att se det på, eftersom det innebär att man lägger fokus på medarbetaren som ett problem som måste åtgärdas.

Faktiskt är det ofta hos ledningen felet ligger, på grund av att de helt enkelt inte prioriterar eller avsätter tillräckligt med resurser till arbetet med IT-säkerhet och hur IT-säkerheten ska passa in i medarbetarnas vardag. Ofta ställs orimliga krav.
Följden blir att medarbetarna inte kan leva upp till IT-säkerheten och därför väljer att kringgå säkerhetspolicyn för att kunna utföra sitt arbete.

Glöm inte den mänskliga faktorn

Problemet är att man inte tar hänsyn till att säkerhet tar tid och inte är en del av medarbetarnas primära arbetsuppgifter.
Man glömmer att ta den mänskliga faktorn på allvar. Medarbetarna gör det som funkar för dem. De flesta bryter inte mot säkerhetsprocedurerna för att de struntar i dem. De gör det för att säkerhetspolicyn hindrar dem från att utföra sitt arbete på ett bra sätt.

Ett exempel är att man har en policy som säger att medarbetarna inte får använda Dropbox. Men om det samtidigt är det enda sättet man kan dela data med sina samarbetspartner på försätts medarbetarna i ett dilemma. Ska de följa policyn eller riskera att mista en samarbetspartner? Om man i stället har en policy kring hur man ska hantera avvikelser från säkerhetspolicyn kan det bidra till att minimera risken.

Strikt säkerhetspolicy kan vara kontraproduktivt

En strikt säkerhetspolicy ser väldigt bra ut på papper, men det kan även ge tråkiga konsekvenser. Det kan bland annat leda till skugg-IT, det vill säga användning av IT-system och IT-verktyg som företaget inte har godkänt.

Det ger sämre säkerhet eftersom man inte är uppmärksam på sådana. Om man i stället ställer mer lämpliga och realistiska krav är chansen större att medarbetarna efterlever dem.

Därmed får man i slutändan en bättre säkerhetsnivå trots – på papperet – mindre strikt säkerhetspolicy.

Involvera medarbetarna

Det handlar därför inte bara om att medarbetarna ska följa fastställda procedurer. Man måste se till att involvera medarbetarna i mycket högre grad än så och ta med deras arbetsuppgifter i beräkningen.

I allmänhet bör grundläggande mänskligt beteende få mycket större utrymme i hur man tänker kring IT-säkerhet inom organisationer och företag.

Det ska komma nedifrån, och man måste ha förståelse för hur medarbetarnas verklighet ser ut. Man ska involvera dem och förstå vilka utmaningar de ställs inför när det gäller säkerhetsprocedurer i samband med att de ska utföra sitt arbete.

Att bara fortsätta tala om för dem att de måste göra saker som hindrar dem i deras arbete är inte rätt väg framåt.

God IT-säkerhet uppnår man först när man tar med den mänskliga aspekten i beräkningen och tar den på allvar.

Managed Services: bra tips till dig som överväger outsourcing av IT

Digitalisering utan modeord? Hämta en kostnadsfri rapport med 5 praktiska råd och 10 konkreta affärsfall: Infria din digitala potential

Säg din mening

*