7 tips: Sådan forhindrer du medarbejderne i at blive tikkende it-sikkerhedsbomber

Illustration: leowolfert/Bigstock
Bag enhver dum it-bruger står en dum it-sikkerhedsansvarlig. Se hvordan du undgår, at uddannelsen af medarbejderne bliver dødens pølse.

LONDON: En uvidende bruger kan underminere selv den bedste sikkerhed, men hvordan får man bedst forvandlet sine brugere fra link-i-mails-klikkende droner til sikkerhedssamuraier, der forsvarer organisationen mod phishing-mails og dårlige passwords?

»Jeg kan godt lide at fortælle historier om dumme brugere, men bag hver historie om en dum bruger er der en dum it-sikkerhedsansvarlig, som ikke udstyrede brugeren med den sunde fornuft, der skulle til,« sagde Ira Winkler, chef for Internet Security Advisors Group på RSA Conference Europe 2012.

Uddannelse af brugere i praktisk viden om it-sikkerhed, security awareness, har længe været en essentiel del af en effektiv it-sikkerhedsstrategi. Men i praksis kniber det med resultaterne.

Internet Security Advisors Group undersøgte effektiviteten af uddannelsesprogrammerne hos syv af USA's største virksomheder, og den mest iøjnefaldende konklusion var, at ingen endnu havde udviklet metoder til at måle effekten af kurserne i it-sikkerhed, og meget af undervisningen viste sig ikke at have ændret brugernes adfærd.

De fleste uddannelsesprogrammer fulgte en treårig cyklus, hvor de forløb mere eller mindre planmæssigt det første år, hvorefter de begyndte at stagnere i det andet år.

»I det tredje år begyndte programmerne at falde fra hinanden, og man besluttede at begynde helt forfra,« fortalte analytiker Samantha Manke fra Internet Security Advisors Group.

Ud fra analysen af uddannelsen hos de syv virksomheder kunne Samantha Manke se, at medarbejderne ganske vist svarede, at de havde lært noget på kurserne, men samtidig svarede mange, at de ikke havde ændret adfærd efterfølgende. Og gennem interviews med de it-sikkerhedsansvarlige viste det sig også, at de generelt havde svært ved få medarbejderne til at interessere sig for emnet.

En god start kan være blot at gå en runde i firmaet og notere sig, hvilke synlige uvaner der eksisterer. Ulåste pc'er, fortrolige dokumenter frit fremme på skrivebordene eller en åben dør ind til et område, hvor kun betroede personer burde have adgang, kan alt sammen tyde på, at der er en generelt afslappet eller ligegyldig holdning til sikkerhed.

Undersøgelsen viste dog også en række positive erfaringer, som eksempelvis at mere interaktiv undervisning var mere effektivt end en video.

»Alle hader den video, og de husker kun det, de skal huske, indtil de har udfyldt quizzen umiddelbart bagefter,« sagde Ira Winkler.

Det er især et problem, hvis man blot opfylder et lovkrav med en årlig orientering om it-sikkerhed. I stedet er det mere effektivt, hvis man spreder det ud i løbet af året og holder det jordnært med fokus på almindelig sund fornuft.

Erfaringerne fra undersøgelsen kan samles i syv positive tiltag, som kan bruges til at gøre it-sikkerhedsundervisningen bedre.

1. Start med en 3-månedersplan

Det gælder om at etablere en god start, og det kan man gøre ved at tage tre konkrete emner og lave korte kampagner i løbet af tre måneder. Man kan så skifte mellem emnerne undervejs, så man eksempelvis i den første måned har en artikel i medarbejderbladet om adgangskoder, en plakatkampagne for adgangskoder i den næste og til sidst et spil om adgangskoder i den tredje måned.

2. Sigt højt og tal også til direktørerne

Det kan betale sig at målrette en del af sin kampagne mod cheflaget i organisationen for at sikre sig opbakning fra ledelsen. Derudover er chefer også saftige skydeskiver for hackere, som vil forsøge at udføre såkaldt 'whaling', der er målrettede phishing-forsøg mod højtstående personer.

3. Engagér brugerne i aktiviteter

Et resultat fra undersøgelsen var, at ingen gad se en instruktionsvideo i it-sikkerhed, uanset hvor godt den var udført. Derimod var der gode resultater med aktiviteter, hvor medarbejderne blev engageret og deltog aktivt ved eksempelvis at udforme undervisningen som et spil.

4. Vær mere kreativ

Varierede idéer er med til at skabe opmærksomhed. Det kan være ved at lave træningen som et roadshow, hvor it-sikkerhedsafdelingen tager på turné rundt til afdelingerne, eller man kan hente eksterne talere ind. Man kan også benytte sig af guerilla-markedsføring med plakater på uventede steder, eller man kan lave interaktive udstillinger, hvor medarbejderne kan deltage i en lodtrækning, hvis de kan udpege eksempelvis 10 overtrædelser af sikkerhedspolitikken.

»Man skal vælge sine kommunikationsformer med omhu. Hvis medarbejderne drukner i e-mails eller bare sletter mails, så er det måske ikke det rigtige medie,« sagde Samantha Manke.

5. Mål dine resultater og få et større budget

Hvis man vil have pengene til at lave ordentlig uddannelse, så hjælper det, hvis man kan dokumentere en effekt af sine kampagner. Det kan man for eksempel gøre ved at optælle antallet af forsøg på at tilgå blokerede websteder i filtersoftwaren, hvis man bruger den slags, og så lave en ny optælling, efter man har kørt en kampagne om forbudte websteder. Selv simple redskaber som spørgeskemaer kan hjælpe med at dokumentere, om en kampagne har haft en effekt.

6. Adskil firmaets budskab fra sikkerhedsbudskabet

Det er ikke sikkert, at det overordnede budskab, som virksomheden gerne vil fortælle sine medarbejdere generelt, er helt i tråd med det, der er nødvendigt at sige, for at få medarbejderne til at forstå it-sikkerhed. Derfor skal man adskille de to.

7. Undgå at være afdelingen for 'Nej'

Den lette måde at håndtere it-sikkerhed på er at forsøge at forhindre medarbejderne i at gøre det, de har lyst til, som falder uden for it-sikkerhedspolitikken. Det kan være at bruge USB-lagermedier eller tilgå virksomhedens systemer fra en mobiltelefon. Men det kan bedre betale sig at bøje sig lidt og komme medarbejderne i møde med en løsning på, hvordan de kan bruge eksempelvis deres smartphones på en sikker måde.

Det kan også være en idé at flytte opgaven med træningen i it-sikkerhed fra blot at være it-afdelingen til at involvere eksempelvis en medarbejder fra alle afdelinger, så opgaven bliver fælleseje for organisationen.

I det hele taget kan der være god hjælp at hente fra kommunikationsafdelingen og marketing til at få sat oplysningskampagnerne sammen på en måde, der rammer de forskellige interne målgrupper bedst.

Version2's rejse og deltagelse i RSA Conference Europe 2012 er betalt af RSA.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Heidi Eisner

Det virker bedst, når medarbejderne selv mærker, at de ikke skal klikke på alting - heller ikke selvom det ser ud som om det kommer fra eget hus.

Få IT-afdelingen til at udvikle et lille venligt program. Send email til medarbejderne om de vil deltage i en test og når de klikker på linket installerer de programmet.

Lad programmet give brugeren en øjeblikkelig oplevelse af at noget-er-helt-galt. Om det er en brølende elg, der flyver over skærmen :) eller der popper en irriterende besked op hver andet minut i 10 min er ligemeget. Det vigtigste er forskrækkelsen og irritationen - og at de så har lært man ikke skal klikke på alting.

Programmet skal selvfølgelig være til at komme af med igen...

Dave Pencroof

Det er langt fra kun exe-filer der kan eksekveres, com/bat/msi og meget andet, der kan eksekveres i et windows miljø, og hvis disse filer kan mailes så har IT afdelingen også fejlet her, for det er et spørgsmål om opsætning af mailserveren, som tilmed er sund fornuft !
Hos flere af de større online mail-udbydere får man ikke lov til at sende disse filtyper, og hos gmail må man heller ikke sende zip filer !
Det er selvfølgeligt muligt at omgå disse spærringer med links der er skruet sådan sammen at klikker man på dem så betyder det at man har sagt JA til at installere whatever,

Virksomheder bekymre sig meget lidt om sikkerhed, for det giver ikke mersalg, hvis vi allesammen gik efter varer/services med sikkerhed som en afgørende parameter, så ville vi se virksomhederne kappes om at være de bedste på det felt, men 95 % eller mere er ligeglade med sikkerhed indtil de bliver ramt HÅRDT f.eks ID-tyveri, så ændres standpunktet pludseligt !
Sikkerheds-ligegyldigheden er så ekstremt omfattende, hos tæt på alle, at det er en Sisyphus opgave !
Hvor ofte kikker i på hvad en app stiller krav om at få lov til, når i installere den på jeres tlf/pc ?
Jeg har til dato ikke mødt en eneste person der har bekymret sig det mindste om at deres lommelygte app stiller krav om så godt som ALT for at du kan få den på din tlf, og tænk engang alt hvad appen reelt har behov for for at udføre sin opgave er kamera og flash (kamera fordi, kamera og flash er en enhed) INTET andet, og 99,99% bruger ikke lommelygte apps der KUN kræver denne ene adgang, og problemet er endnu værre blandt helt unge brugere !

Log ind eller Opret konto for at kommentere