– Arbejdskulturen er afgørende i kampen mod cyberkriminelle
Læsetid: 12 minutter.
De bedste it-sikkerhedssystemer og regelmæssige opdateringer kan ikke stå alene i kampen mod den cyberkriminelle underverden. Værnet mod forretningskritiske angreb på data og oppetid smuldrer, hvis det ikke bygger på en stærk virksomhedskultur, hvor lederne går forrest.
Hver fjerde sekund tester hackere fra hele verden om de kan få adgang til online enheder. Står en dør åben, skal den nok blive fundet – og for virksomheder kan det være en stor mundfuld at gardere sig mod en hackerindustri i rivende udvikling.
Uanset hvor stærkt it-medarbejderne løber for at sikre, at firewalls og it-systemer altid er opdaterede, og at der konstant bliver taget backup af virksomhedens data, er det umuligt at gardere sig fuldstændigt mod angreb, hvis hele virksomheden ikke er med ombord. I kampen mod hackerne er virksomhedens it-sikkerhedskultur derfor helt afgørende.
Første step er at udfærdige en risikoanalyse.
Hvor sårbar er virksomheden i forhold til nedetid? Hvor længe kan virksomheden tåle at være nede, før det koster for meget på bundlinjen? Har I lagt den rette back-up-strategi? Hvor længe kan I tåle at vente, før forretningskritiske data er gendannet? Hvor længe kan I tåle ikke at have systemadgang? Kan I tåle at miste eller få stjålet data?
En risikoanalyse gør it-sikkerhedssystemer og -procedurer langt mere målrettede. Samtidig gør en risikoanalyse det nemmere at videreformidle til medarbejderne, hvorfor it-sikkerhed kan være afgørende for forretningens eksistens.
62 procent fejlvurderer virksomhedens største svaghed
It-afdelingen kan og skal ikke stå alene med ansvaret for virksomhedens it-sikkerhed. En virksomheds it-sikkerhed står og falder med ledelsen. Det er meget enkelt, hvis ledelsen ikke går forrest som positive og stærke rollemodeller, kommer det ikke til at ske.
I øjeblikket kommer 90 procent af al malware ind via phishingmails, som medarbejderne skal lære ikke at klikke på. Ifølge en undersøgelse, som GlobalConnect for nylig har fået gennemført i samarbejde med Voxmeter, mener 62 procent af de danske CIOs, at medarbejderne er virksomhedens største svaghed. Det er blevet en floskel og en nærmest selvopfyldende profeti, der gør, at problemet ofte angribes fra en forkert vinkel.
Efter min mening handler det i langt højere grad om at skabe en sund ledelses- og arbejdskultur, hvor medarbejderne forstår, hvorfor it-sikkerhed er så vigtigt – for dem, deres eget arbejde og for virksomhedens forretning.
Louise Hahn
En virksomhed kan kun lykkes med sin it-sikkerhed, hvis ledelsen formår at italesætte, hvorfor det giver mening for forretningen ikke at dele adgangskoder, ikke at bruge de samme adgangskoder privat og i arbejdsregi, ikke at klikke på mistænkelige links eller at gå fra en tændt, åben og sårbar computer.
Meget få medarbejdere ville lade døre og vinduer til kontoret stå åbne og ulåste, hvis de var de sidste, der forlod kontoret. Hvorfor? Fordi de instinktivt ved, at det udsætter virksomheden for fare. Det er den samme intuitive og helt grundlæggende arbejdskultur, virksomhederne skal skabe fundamentet for, når det kommer til it-sikkerhed. For hvem ved deres fulde fem vil være den, der inviterer de cyberkriminelle indenfor?
Det er den kultur, vi går efter i GlobalConnect. Det virker nemlig, når medarbejderne i dialog med ledelsen får viden om og et reelt indblik i, hvad det helt konkret betyder for virksomheden, hvis den bliver angrebet, end hvis de blot står for enden af tunnelen som passive modtagere af et informationsflow om it-sikkerhed.
Show it, don’t tell it
I GlobalConnect er der ikke meget, der er vigtigere, end it-sikkerhed. Og det står på alle lederes agenda. Det er fordi, det ikke kun er vigtigt for vores egne forretningskritiske data, men fordi vi varetager ansvaret for andres forbindelser og data. Det er derfor et emne, der fylder meget i hele organisationen og som står allerøverst på min agenda som landechef for GlobalConnect i Danmark. På alle informationsmøder taler vi om, hvorfor it-sikkerhed er vigtigt, hvad det betyder for mig, hvad det betyder for den pågældende medarbejder og dennes arbejdsområde, og hvad det betyder for kunderne.
Det kan lyde banalt, men skåret ud i pap, så ’siger’ jeg ikke, det er vigtigt, men jeg viser, det er vigtigt gennem min opførsel, ved at sætte det på agendaen og gå i dybden i en dialog med den nye medarbejder om emnet. Det er ikke blot endnu et emne på en dosmerseddel, der skal krydses af, før vi går videre til andre emner.
Virkeligheden slår alt
I GlobalConnect har vi udformet fire leveregler, som vi taler om på intromøderne. Vi diskuterer, hvorfor de er vigtige, og hvad der sker, hvis vi ikke følger dem. Sideløbende kører vi interne kommunikationskampagner, der sætter fokus på og minder medarbejderne om vores procedurer og leveregler, ligesom vi – som mange andre – har krav om, at medarbejderne deltager i eLearningkurser om it-sikkerhed.
Medarbejderne skal med ombord – og det kommer de kun, hvis det giver mening for dem
Louise Hahn
Der er flere måder at gøre det på, men essensen er, at medarbejderne skal med ombord – og det kommer de kun, hvis det giver mening for dem. Det skal komme fra ledelsen, og ledelsen skal mene det. Emnet er for vigtigt til, der blot skal svares rigtigt på spørgsmålene i et eLearning-program.
Hvis I vil være et skridt foran – og det vil I – i forhold til hackerne og deres kreative og konstant foranderlige angrebsmetoder, er det afgørende, at medarbejderne får sikkerhedskulturen ind under huden, så den bliver integreret i hverdagen og i situationer, der måske ikke matcher eLearnings-scenarierne 1:1 – det er i hvert fald sjældent sådan, virkeligheden ser ud.
Kun på den måde undgår vi, at vi lader døren til kontoret stå pivåben efter lukketid.