It-sikkerhed sælger ikke sig selv

[fa icon="calendar"] 18-12-15 12:52 / Skrevet af GlobalConnect A/S

danger.jpg

Marketingafdelingens guide til it-chefen: Sådan bliver du bedre til at sælge it-sikkerhed ind til organisationen, så I opnår en mere sikker it-sikkerhedskultur, og du får færre sikkerhedsudfordringer i din hverdag, der skyldes brugere.

Sæt fokus på it-sikkerheden

Jeg ved det. Du ved det helt sikkert også. Men det er ikke sikkert at dine kolleger ved det. Og ved din chef det overhovedet? Beskyttelse mod hackerangreb starter længe før de teknologiske løsninger tager over og forhindrer DDoS-angreb eller sikrer, at Recovery Time Actual (RTA) er lig med Recovery Time Object (RTO) efter ransomware har inficeret virksomhedens netværk. Det er vigtig viden i dag, men det er ikke almen viden. Derfor starter vejen mod god it-governance allerede med at bevidstgøre over for organisationen, hvorfor man i det hele taget bør tænke over ens færden i en netværksforbundet hverdag.

 

Vi har allerede en it-politik, der sikrer vores netværk og systemer mod brugerne

Det lyder sikkert både ressourceskrævende (og en smule kedeligt) i mange forretningsansvarliges ører, at opfordre til at gøre mere ud af oplysningen i brug af it og internet i virksomheden. For vi er jo alle sammen velbevandrede på nettet i dag, ik’, så det er der vist ikke grund til at spilde ressourcer på! Måske er det derfor, at den mest udbredte praksis er at stille krav til, at brugerne af it-systemer og netværk skal læse og overholde reglerne i personalehåndbogens afsnit om it eller den længere selvstændige it-politik. Men spørgsmålet er så, om forbuddene faktisk bliver overholdt i praksis på en travl dag fyldt med deadlines?

 

Derfor er it-politikken i sig selv ikke nok

It-politikker forklarer ofte, hvad man ikke må på virksomhedens netværk og med virksomhedens udstyr. Men de kommer sjældent omkring, hvorfor vi som brugere gør bedst i at følge reglerne, andet end at true med risikoen for at blive fyret selvfølgelig. Der er jo nogle regler, der giver sig selv, som fx at man skal overholde lovgivningen mht. fildeling og lignende. Men der er også de regler, hvor it-politikken kan komme til at virke mere som en hæmsko i forhold til at kunne yde optimalt i arbejdstiden end et forsøg på at hjælpe til et mere sikkert digitalt arbejdsliv. Og her er det vigtige som it-ansvarlig at huske sig selv på: Det er med kolleger (også chefer), som det er med vand: De tager den letteste vej til målet. Så er der en opgave, der hurtigt kan løses ved at bøje reglerne en smule, så skal det nok blive gjort på et tidspunkt (se fx Hillary Clintons e-mailsag, hvor hun med henvisning til ”convenience” brugte sin private e-mail og ikke regeringens sikrede e-mail).

It-politikkers manglende effekt kan forklares med, at vi har det med at glemme oplysninger, der allerede på forhånd vurderes som selvfølgeligheder. Og her spiller forestillingen om vores eget intellekt os et pus. For når sandheden skal frem, så er vi ikke altid så fremme i bussen, som vi selv forestiller os. Men det forudsætter naturligvis, at it-politikken er blevet gennemlæst til at starte med. Og er den faktisk blevet læst fra ende til anden, så opstår risikoen for, at for meget information resulterer, at det væsentligste bliver overset i mængden (eller med et fagudtryk fra psykologien information bias) .

 

Gør it-sikkerhed relevant for dine kolleger

Det nødvendigt at underbygge it-politikkerne med initiativer, der tager højde for de personer, som faktisk bruger systemerne og den hverdag, som de bruger dem i. Og her er det, at du skal se it-sikkerhed som et produkt, du skal sælge internt i organisationen. For det er dit ansvar som it-ansvarlig at skabe en interesse for it-sikkerhed, så det bliver relevant for dine kolleger og chefer. Frygten for at blive fyret er på den lange bane, og i stressende situationer ikke nok til at kunne træffe oplyste og fornuftige valg i dagligdagen. Når der skal skabes interesse for et emne som it-sikkerhed, er det vigtigt at gøre det relevant for den enkelte. Derfor kan et godt teknisk greb være historiefortælling. Og god historiefortælling bygger på grundreglen: Show it, don’t tell it!

 

Den nære fortælling: Hackeren kommer tættere på

Fokuser på, hvordan it-sikkerhed kan blive relevant for medarbejderen som person, og ikke, hvorfor det er vigtigt for virksomheden. Når man viser folk de konsekvenser, det kan have for dem at falde i en hackers fælde, så vil de også være indstillet på at lære, hvordan de beskytter sig selv bedre. Og hvis vi alle beskytter os selv lidt bedre, så er vi allerede nået et godt stykke hen ad vejen mod en bedre it-sikkerhed i virksomheden.

Hackeren kommer tættere og tættere på dig og dine kolleger. Vi er stadig flere, der lægger stadig mere private oplysninger online på fx Facebook og LinkedIn, og det er nemmere at koble denne viden sammen med teknologier som fx maskinoversættelser, der bliver stadig bedre til dansk, og dermed komme helt tæt på og starte relationerne med os på tværs af sproglige og intime skel. Denne udvikling gør det nødvendigt at vi konstant holder os orienteret om de nye trusler og versioner af fx phishing- og virus-mails. Nu, mere end tidligere, handler det om, at truslerne skal synliggøres og vises, før vi som brugere af systemer bliver bevidste om, hvad vi skal være opmærksomme på. Det er ikke fordi vi er dumme. Vi har bare andre opgaver og anden viden, end du har som it-ansvarlig.

Her er det vigtigt at fremhæve, at vi i bund og grund alle er skabt dovne, sådan mentalt set. Sagt på en pæn måde, så er vi ret tilbageholdende med den energi, vi bruger, når mentale opgaver skal løses. Derfor klarer vi også rigtig mange af dagens gøremål uden at tænke nærmere over, hvordan vi klarer dem. Vi klarer dem per automatik. Enkelte opgaver er vi nødt til at reflektere over, men der er grænser for, hvor mange af den slags, vi er i stand til at arbejde bevidst med på samme tid. Derfor afkoder vi vores omverden med udgangspunkt i vanetænkning: Var denne afsender god nok sidste gang, kan jeg nok også klikke på hans link eller se filerne fra ham denne gang. Eller vi orienterer os hurtigt efter symboler, som fx logoer eller navnet i afsenderfeltet i Outlook, der visuelt giver os viden om, hvem vi kommunikerer med. Og så navigerer vi selvfølgelig efter vores egne erfaringer: Kendskab til retstavning, brug af engelske gloser mv., har tidligere været indikatorer på phishing-mails, der har forsøgt at efterligne Skat eller netbanker og lignende for at franarre os oplysninger.

Som privatperson, er der er mange farer at forholde sig til, bl.a. social engineering. Her risikerer dine kolleger, hvis de giver nøglekort og kode ud til NemID at blive udsat for identitetstyveri. Og sker det først, så kan det blive meget ubehageligt og en langstrakt proces at komme over på den anden side. Det er en historie, der er relevant at få fortalt – og ikke mindst gentaget – selvom den ikke er relevant i arbejdssammenhænge. Og det er en historie, der vil gøre at dine kolleger får øjnene op for at it-sikkerhed er et relevant emne – også for dem! Og mund ikke det vil smitte positivt af på måden de bruger it i arbejdssammenhænge?

  

Og glem så ikke at gøre it-sikkerhed relevant for direktionen

Du bliver nødt til at afstemme forventningerne med resten af organisationen omkring vigtigheden af it-sikkerhed. Her er også direktionen vigtig at orientere og vise de farer, og det øgede pres virksomheden møder i de digitale grænseflader. Vi har tidligere skrevet om det, men vi mener, at det er et så vigtigt budskab, at det er værd at gentage: It-sikkerhed er essentielt for moderne virksomheder; Også selvom den ikke lever af at sælge data, så kan det meget muligt være data, der faktisk holder hjulene i gang.

Som it-ansvarlig er du ikke nødvendigvis placeret der, hvor de strategiske beslutningerne tages for forretningen. Du kan derfor være afhængig af at kunne få dit budskab igennem flere led, før de præsenteres for direktionen. Det er derfor en øvelse i diplomati, som stiller krav til den it-ansvarliges retoriske kunnen. Her er det vigtigt at vise, hvilke konsekvenser strategiske valg og fravalg har allerede før de træffes. Det gøres bedst ved løbende at informere og vise nye truslers indvirkning på forretningen, så beslutninger om investeringer kan træffes på et oplyst grundlag.

 

Den store fortælling: Fremtiden er usikker

Når du skal sælge it-sikkerhed ind i forhold til de forretningsmæssige beslutningstagere i direktionen, så er det en store fortælling, som du skal fokusere på. Truslen bliver stadig større.

Der er en stigning i angreb, hvor spionage er målet. Derfor er det vigtigt, at medarbejderne er viden om, hvornår de risikerer at lukke en bagdør op for hackere, så værdifulde informationer ikke kan misbruges. Men også DDoS-angreb og hackerangreb med ransomeware er i stigning. Og her kan alt gå i stå, hvis ikke der er investeret de rigtige teknologier til at gendanne systemer og informationer, hvis en hacker får held med at inficere netværket og kryptere data.

Derfor bør du have forestillet dig øjeblikket, hvor alt fejler, og I bliver ramt af den perfekte storm. Og det scenarie bør du også sørge for at ledelsen har visualiseret, så I sammen kan sikre at beredskabsplaner fungerer, og at I har afdækket behov for RTO mm. på tværs af alle afdelinger. Hvilke kan undværes, hvilke er kritiske for, at I kan fungere, og hvad er jeres minimumkrav til it-infrastrukturen?

Det er derfor vigtigt, at du viser, at fremtiden er usikker, men også, at du ikke kan spå om morgendagens udfordringer. Og gentag det så med jævne mellemrum, så det bliver en udfordring, I alle er bevidste om at skulle forholde jer til. Og som bliver taget med i de økonomiske overvejelser, når der skal lægges strategi for forretningen. Som it-ansvarlig har du en nøgleposition i den moderne organisation. Del din viden med direktionen. Den er ikke nødvendigvis så selvindlysende, som du tror. Og den kan være et reelt konkurrenceparameter, glem ikke at fortæl det!

 

Gentagelse, gentagelse, gentagelse

Når man arbejder med netværk og it i det daglige, er man opmærksom på de mange faldgrubber, der gemmer sig. Men det er ikke nødvendigvis en viden, som brugerne af systemerne har. De mener måske, at de er superbrugere af office-pakken, men det betyder ikke at de holder sig opdateret med, hvilke farer der lurer i deres indbakke. Derfor er det vigtigt kontinuerligt at oplyse om nye forsøg på at franarre dem personlige oplysninger eller at få adgang til systemer med henblik på cyberspionage. Så gentag, gentag og gentag så igen! Og fyld så hele tiden på af ny viden, så trusselsbilledet I navigerer i forhold til faktisk afspejler virkeligheden!


Vurder indlæg:


Handler om: It-sikkerhed, DDoS, Netværk, It-politik


GlobalConnect A/S

Skrevet af GlobalConnect A/S

GlobalConnect er Danmarks førende alternative udbyder af fibernet, datacentre og cloud-løsninger.Vi dækker Danmark, Nordtyskland og dele af Sverige med et mere end 13.000 km langt netværk af optisk fiber og 13.000 m2 datacentre.