Dette er en kommentar: FINANS bringer løbende kommentarer fra specialister og meningsdannere. Alle kommentarer er udtryk for den pågældende skribents egen holdning.
Debat

Debatindlæg: Skidt ledelse er den største trussel mod it-sikkerheden

Man får først en god it-sikkerhed, når man tænker det menneskelige aspekt ind og tager de ansattes dagligdag seriøst.

Artiklens øverste billede
Foto: AP Photo/John Minchillo

Vi hører ofte, at medarbejderne er den største trussel mod virksomhedernes it-sikkerhed. Men det er en fejl at se det på denne måde, da det lægger fokus på medarbejderen, som et problem, der skal fixes.

Faktisk er det ofte hos ledelsen, den er gal. De hverken prioriterer eller sætter ressourcer nok af til at arbejde med it-sikkerhed i medarbejdernes hverdag. Samtidig bliver der ofte stillet for urimelige krav. Konsekvensen er, at medarbejderne ikke lever op til it-sikkerheden, og derfor vælger at omgå sikkerhedspolitikken for at kunne udføre deres arbejde. Man glemmer at tage den menneskelige faktor seriøst.

Medarbejdere gør det, der virker for dem. De fleste bryder ikke sikkerhedsprocedurerne, fordi de er ligeglade. De gør det, fordi sikkerhedspolitikken står i vejen for at de kan udføre deres arbejde tilfredsstillende. Tænk på en sygeplejeske, der skal betjene mange forskellige terminaler i løbet af en dag. Det bliver til mange minutter hver dag, hvis han skal logge ind og ud med to-faktor autentifikation hver gang. Det går ud over kerneydelsen, og derfor vil mange vægte arbejdet med at tage sig af patienterne højere end at overholde sikkerhedspolitikken.

Et andet eksempel er, hvis man har en politik, der siger, at medarbejderne ikke må bruge Dropbox. Men hvis det samtidig er den eneste måde man deler data med samarbejdspartnere, så stiller man medarbejderne i et dilemma. Skal man overholde politikken eller potentielt miste en samarbejdspartner? Har man omvendt en politik for, hvordan man håndterer afvigelser fra sikkerhedspolitikken, så kan det være med til at minimere risikoen.

Det ser rigtig godt ud på papiret at have en striks sikkerhedspolitik, men det kan også have nogle uheldige konsekvenser. Det kan bl.a. føre til såkaldt skygge-it, altså anvendelse af IT-systemer og værktøjer, der ikke er sanktioneret af virksomheden. Det giver dårligere sikkerhed, da man ikke er opmærksomhed på disse. Stiller man omvendt mere lempelige og realistiske krav, er der større chance for at medarbejderne overholder dem. Dermed får man en bedre sikkerhed i den sidste ende til trods for på papiret en mindre striks sikkerhedspolitik.

Det handler derfor ikke kun om, at medarbejderne skal overholde bestemte procedurer. Man skal i langt højere grad se på, hvordan man inddrager medarbejderne og tænker deres arbejdsopgaver ind. Generelt bør basal menneskelig opførsel fylde meget mere i den måde, man tænker it-sikkerhed i organisationer og virksomheder.

Det skal komme nedefra og man skal forstå, hvad det er for en virkelighed, som medarbejderne står i. Man skal inddrage dem og forstå, hvad det er for nogle udfordringer, de står med i forhold til gældende sikkerhedsprocedure, når de udfører deres arbejde. Det med at blive ved med at fortælle dem, at de skal gøre noget, som forhindrer dem i deres arbejde, er ikke vejen frem.

Man får først en god it-sikkerhed, når man tænker det menneskelige aspekt ind og tager det seriøst.

Af Mads Schaarup Andersen, it-sikkerhedsekspert og ph.d. på Alexandra Instituttet.

Top job

Forsiden lige nu

Anbefalet til dig

Giv adgang til en ven

Hver måned kan du give adgang til 5 låste artikler.
Du har givet 0 ud af 0 låste artikler.

Giv artiklen via:

Modtageren kan frit læse artiklen uden at logge ind.

Du kan ikke give flere artikler

Næste kalendermåned kan du give adgang til 5 nye artikler.

Teknisk fejl

Artiklen kunne ikke gives videre grundet en teknisk fejl.

Ingen internetforbindelse

Artiklen kunne ikke gives videre grundet manglende internetforbindelse.

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du give adgang til 5 låste artikler om måneden.

ALLEREDE ABONNENT?  LOG IND

Denne funktion kræver abonnement

Med et abonnement kan du lave din egen læseliste og læse artiklerne, når det passer dig.

Teknisk fejl

Artiklen kunne ikke tilføjes til læselisten, grundet en teknisk fejl.

Forsøg igen senere.

Del artiklen
Relevant for andre?
Del artiklen på sociale medier.

Du kan ikke logge ind

Vi har i øjeblikket problemer med vores loginsystem, men vi har sørget for, at du har adgang til alt vores indhold, imens vi arbejder på sagen. Forsøg at logge ind igen senere. Vi beklager ulejligheden.

Du kan ikke logge ud

Vi har i øjeblikket problemer med vores loginsystem, og derfor kan vi ikke logge dig ud. Forsøg igen senere. Vi beklager ulejligheden.