ITWatch

Klumme: Ledelsen skal forstå medarbejderne, før de nedfælder sin it-sikkerhedspolitik

It-sikkerhedspolitik i virksomhederne står ofte i vejen for, at medarbejderne kan udføre deres arbejde tilfredsstillende. Derfor bør lederne kigge mere på, at tilpasse politikken til de arbejdsgange, der er i virksomheden, skriver Mads Schaarup Andersen, it-sikkerhedsekspert ved Alexandra Instituttet, i denne klumme.

PR/Alexandra Instituttet
Foto: PR/Alexandra Instituttet

Truslen fra cyber-kriminalitet mod vores digitale samfund og virksomheder er stor, og derfor er der i øjeblikket et stort fokus på at højne it-sikkerheden. Det har medført en øget fokus på awareness-kampagner, der skal øge medarbejdernes viden om it-sikkerhedsmæssige faldgrupper.

Tesen er, at hvis medarbejderne kender virksomhedens it-sikkerhedspolitik, så overholder de den. Eller gør de?

Meget tyder desværre på, at det gør de ikke nødvendigvis. Jeg hørte for nyligt om en it-chef, der var taget ud sammen med virksomhedens teknikere for at se, hvordan sikkerhedspolitikken passede ind i deres hverdag. Han erfarede, at de startede med at slå en masse sikkerhedsmekanismer fra. Da han spurgte, hvorfor de gjorde det, så kom det frem, at sikkerheden simpelthen stod i vejen for at de kunne udføre deres arbejde på den tid de havde.

Det er et meget godt eksempel på, at der ikke bliver arbejdet seriøst nok med, hvordan it-sikkerhed passer ind i medarbejdernes hverdag. Man stiller ofte urimelige krav, der besværliggør folks arbejde. Man glemmer den menneskelige faktor. Ansatte gør det, der skal til for at de kan udføre deres arbejde. De færreste er ansat til at udføre sikkerhed!

Ansatte bryder ikke sikkerhedsprocedurerne, fordi de er dumme eller ligeglade. De gør det, fordi politikken står i vejen for at de kan udføre deres arbejde tilfredsstillende.

Og hvorfor får man ikke sat sig ind i medarbejdernes måde at arbejde på? Problemet er, at sikkerhed ofte stopper ved awareness, træning og spørgeskemaer. Mange af de tiltag, vi ser i dag, er ofte bundet op på viden om sikkerhedspolitikken. De siger ikke noget om, hvordan medarbejderne opfører sig. Og ikke mindst, hvorfor de opfører sig, som de gør. Fordi det er der ofte en god grund til.

Det kan godt være, at du kan vække dine medarbejdere klokken to om natten og få dem til at recitere de ti bud i sikkerhedspolitikken. Men hvis de føler, det står i vejen for deres arbejde, så følger de dem ikke. Viden er ikke lig med handling!

Man får ikke sat sig ind i, hvad politikken betyder for medarbejdernes måde at arbejde på. Man opsamler ofte kun viden, når de gør noget galt. Og når det sker, så tænker man, at de har brug for mere information om it-sikkerhedspolitikken og it-sikkerhed generelt.

Man bliver nødt til at se på arbejdsgange og processer. Kig på om der er ting i it-sikkerheden, der står i vejen for at medarbejderne kan udføre deres arbejde tilfredsstillende. Undersøg om der er menneskelige faktorer, der spænder ben for it-sikkerheden. Skab et overblik over de områder, hvor det er nødvendigt med en form for ændring.

Man skal være åben overfor, at lavere krav til sikkerheden reelt kan give bedre sikkerhed. Det er ikke vejen frem at blive ved med at fortælle medarbejderne, at de skal blive ved med at gøre noget, som forhindrer dem i deres arbejde. Det handler om at tænke det menneskelige aspekt ind. Det er først, når man gør det, at man får god it-sikkerhed.

Klumme: Kan it-sikkerheden tage overhånd?

Klumme: Det eneste, der er værre end mangel på tillid, er en falsk følelse af tillid

Relaterede

ITWatch trial banner 14 dage.jpg

Seneste nyt

Se alle ledige stillinger