7 tips: Sådan forhindrer du medarbejderne i at blive tikkende it-sikkerhedsbomber

LONDON: En uvidende bruger kan underminere selv den bedste sikkerhed, men hvordan får man bedst forvandlet sine brugere fra link-i-mails-klikkende droner til sikkerhedssamuraier, der forsvarer organisationen mod phishing-mails og dårlige passwords?

»Jeg kan godt lide at fortælle historier om dumme brugere, men bag hver historie om en dum bruger er der en dum it-sikkerhedsansvarlig, som ikke udstyrede brugeren med den sunde fornuft, der skulle til,« sagde Ira Winkler, chef for Internet Security Advisors Group på RSA Conference Europe 2012.

Uddannelse af brugere i praktisk viden om it-sikkerhed, security awareness, har længe været en essentiel del af en effektiv it-sikkerhedsstrategi. Men i praksis kniber det med resultaterne.

Internet Security Advisors Group undersøgte effektiviteten af uddannelsesprogrammerne hos syv af USA's største virksomheder, og den mest iøjnefaldende konklusion var, at ingen endnu havde udviklet metoder til at måle effekten af kurserne i it-sikkerhed, og meget af undervisningen viste sig ikke at have ændret brugernes adfærd.

De fleste uddannelsesprogrammer fulgte en treårig cyklus, hvor de forløb mere eller mindre planmæssigt det første år, hvorefter de begyndte at stagnere i det andet år.

»I det tredje år begyndte programmerne at falde fra hinanden, og man besluttede at begynde helt forfra,« fortalte analytiker Samantha Manke fra Internet Security Advisors Group.

Ud fra analysen af uddannelsen hos de syv virksomheder kunne Samantha Manke se, at medarbejderne ganske vist svarede, at de havde lært noget på kurserne, men samtidig svarede mange, at de ikke havde ændret adfærd efterfølgende. Og gennem interviews med de it-sikkerhedsansvarlige viste det sig også, at de generelt havde svært ved få medarbejderne til at interessere sig for emnet.

En god start kan være blot at gå en runde i firmaet og notere sig, hvilke synlige uvaner der eksisterer. Ulåste pc'er, fortrolige dokumenter frit fremme på skrivebordene eller en åben dør ind til et område, hvor kun betroede personer burde have adgang, kan alt sammen tyde på, at der er en generelt afslappet eller ligegyldig holdning til sikkerhed.

Undersøgelsen viste dog også en række positive erfaringer, som eksempelvis at mere interaktiv undervisning var mere effektivt end en video.

»Alle hader den video, og de husker kun det, de skal huske, indtil de har udfyldt quizzen umiddelbart bagefter,« sagde Ira Winkler.

Det er især et problem, hvis man blot opfylder et lovkrav med en årlig orientering om it-sikkerhed. I stedet er det mere effektivt, hvis man spreder det ud i løbet af året og holder det jordnært med fokus på almindelig sund fornuft.

Erfaringerne fra undersøgelsen kan samles i syv positive tiltag, som kan bruges til at gøre it-sikkerhedsundervisningen bedre.

1. Start med en 3-månedersplan

Det gælder om at etablere en god start, og det kan man gøre ved at tage tre konkrete emner og lave korte kampagner i løbet af tre måneder. Man kan så skifte mellem emnerne undervejs, så man eksempelvis i den første måned har en artikel i medarbejderbladet om adgangskoder, en plakatkampagne for adgangskoder i den næste og til sidst et spil om adgangskoder i den tredje måned.

2. Sigt højt og tal også til direktørerne

Det kan betale sig at målrette en del af sin kampagne mod cheflaget i organisationen for at sikre sig opbakning fra ledelsen. Derudover er chefer også saftige skydeskiver for hackere, som vil forsøge at udføre såkaldt 'whaling', der er målrettede phishing-forsøg mod højtstående personer.

3. Engagér brugerne i aktiviteter

Et resultat fra undersøgelsen var, at ingen gad se en instruktionsvideo i it-sikkerhed, uanset hvor godt den var udført. Derimod var der gode resultater med aktiviteter, hvor medarbejderne blev engageret og deltog aktivt ved eksempelvis at udforme undervisningen som et spil.

4. Vær mere kreativ

Varierede idéer er med til at skabe opmærksomhed. Det kan være ved at lave træningen som et roadshow, hvor it-sikkerhedsafdelingen tager på turné rundt til afdelingerne, eller man kan hente eksterne talere ind. Man kan også benytte sig af guerilla-markedsføring med plakater på uventede steder, eller man kan lave interaktive udstillinger, hvor medarbejderne kan deltage i en lodtrækning, hvis de kan udpege eksempelvis 10 overtrædelser af sikkerhedspolitikken.

»Man skal vælge sine kommunikationsformer med omhu. Hvis medarbejderne drukner i e-mails eller bare sletter mails, så er det måske ikke det rigtige medie,« sagde Samantha Manke.

5. Mål dine resultater og få et større budget

Hvis man vil have pengene til at lave ordentlig uddannelse, så hjælper det, hvis man kan dokumentere en effekt af sine kampagner. Det kan man for eksempel gøre ved at optælle antallet af forsøg på at tilgå blokerede websteder i filtersoftwaren, hvis man bruger den slags, og så lave en ny optælling, efter man har kørt en kampagne om forbudte websteder. Selv simple redskaber som spørgeskemaer kan hjælpe med at dokumentere, om en kampagne har haft en effekt.

6. Adskil firmaets budskab fra sikkerhedsbudskabet

Det er ikke sikkert, at det overordnede budskab, som virksomheden gerne vil fortælle sine medarbejdere generelt, er helt i tråd med det, der er nødvendigt at sige, for at få medarbejderne til at forstå it-sikkerhed. Derfor skal man adskille de to.

7. Undgå at være afdelingen for 'Nej'

Den lette måde at håndtere it-sikkerhed på er at forsøge at forhindre medarbejderne i at gøre det, de har lyst til, som falder uden for it-sikkerhedspolitikken. Det kan være at bruge USB-lagermedier eller tilgå virksomhedens systemer fra en mobiltelefon. Men det kan bedre betale sig at bøje sig lidt og komme medarbejderne i møde med en løsning på, hvordan de kan bruge eksempelvis deres smartphones på en sikker måde.

Det kan også være en idé at flytte opgaven med træningen i it-sikkerhed fra blot at være it-afdelingen til at involvere eksempelvis en medarbejder fra alle afdelinger, så opgaven bliver fælleseje for organisationen.

I det hele taget kan der være god hjælp at hente fra kommunikationsafdelingen og marketing til at få sat oplysningskampagnerne sammen på en måde, der rammer de forskellige interne målgrupper bedst.

Version2's rejse og deltagelse i RSA Conference Europe 2012 er betalt af RSA.