It-sikkerhed handler om kultur og ikke blot it

Skal man vinde kampen mod cyberkriminelle, skal der langt mere til end blot en opdateret firewall. Derfor er TDC i gang med at ændre hele deres kultur.

It-sikkerhed handler om kultur og ikke blot it

Kampen mellem hackere og virksomheder, om at være først til at finde og lukke sikkerhedshuller, kan fortsætte i det uendelige. Og selvom det er et våbenkapløb, som virksomhederne ikke kan tillade sig at melde sig ud af, så er det ikke nødvendigvis på den front, at krigen i sidste ende vindes.

30 procent af alle sikkerhedshændelser i en virksomhed skyldes faktisk medarbejderne, hvis man skal tro de 9.500 topleder, som PwC har spurgt i deres årlige Global State of Information Security Survey.

”Erfaringerne viser igen og igen, at det svageste led i it-sikkerhedskæden er det menneskelige. Netop derfor er det så vigtigt, at man går ind og arbejder på at opbygge en reel sikkerhedskultur i virksomheden, hvis man skal forbedre it-sikkerheden,” siger Kenneth Aukdal, der er Security Awareness & Communications Manager i TDC.

Han oplever da også, at man flere steder er begyndt at ansætte deciderede kommunikationsfolk til at håndtere kommunikationen vedr. it-sikkerhed. Simpelthen for at sikre, at budskaberne også udmønter sig i reelle adfærdsændringer.

It-sikkerhed handler om mere end den årlige awareness-kampagne

Skal man lykkedes med en decideret adfærdsændring, hvor sikkerhed er en integreret del af virksomhedens DNA, kan man ifølge Kenneth Aukdal ikke nøjes med den årlige awareness-kampagne, hvor man med et par plakater og en artikel på intranettet gør opmærksom på, hvad medarbejderne skal gøre og ikke gøre.

”Du kommer ingen vegne, hvis du blot én gang om året kommer med en kampagne – og hvis den så ovenikøbet kun er en løftet pegefinger. Skal du ændre kulturen, skal du hele tiden hjælpe medarbejderne til at tænke over it-sikkerheden og give dem nogle enkle og konkrete værktøjer til at kunne agere rigtigt.”

I TDC kommer man f.eks. op til ferierne med artikler om gode sikkerhedsråd til rejsen, man laver løbende små digital huskesedler og publicerer artikler, der gør det nemt at huske på it-sikkerheden.

Tæt samarbejde på tværs af kanaler

Webcam covers, nøgleringe, og andre fysiske reminders er som sådan fine nok til at skabe awareness. Men skal man for alvor rykke, kræver det et tæt samarbejde med bl.a. HR og kommunikationsafdelingen.

”Det letteste sted at blive usynlig med sit budskab, er faktisk på intranettet, hvor man hurtigt drukner i 1.000 af andre informationer. Så det er vigtigt at være bevidst om, at sikkerhedsbudskaberne skal ud over det hele i virksomheden, så de også rammer ned i dagligdagen,” forklarer Kenneth Aukdal.

Ligesom med de traditionelle forandringsopgaver handler det derfor om at lave et godt og tæt samarbejde med både HR, kommunikationsafdelingen og hele lederlaget i virksomheden, så man sikrer, at budskaberne doseres rigtigt og kommer ud til i hele organisationen.

Lykkedes man ikke med det, så vil man hurtigt fejle i forhold til at opbygge en reel sikkerhedskultur.

Mærke sat på gulvet lige efter indgangen, hvor mange puttede deres ID-kort tilbage i tasken

Og lige netop her har mange slået fejl, fordi de har bare fokuseret på at informere i stedet for at tage udgangspunkt i reel adfærdsændring. Den fejl har man heldigvis ikke gjort i TDC, hvor man allerede nu kan se en ændret tilgang til sikkerheden.

”Selvom du aldrig bliver færdig med at kommunikere om sikkerhed, så er det et godt tegn, når medarbejderne ringer til os for at bede om råd. Og så er vi begyndt at blive inviteret med til de indledende projektmøder, når de skal i gang med at udvikle nye produkter,” udtaler Kenneth Aukdal.

Tre gode råd til at komme i gang med at skabe en sikkerhedskultur i virksomheden

  1. Dyrk organisationen. Lær den at kende og find ud af, hvor skoen trykker, så du kan tilrette både budskaber og kommunikationskanaler mest effektivt.
  2. Arbejd sammen på tværs. Lav et samarbejde mellem HR, kommunikation og it-sikkerhed, så man hele tiden udveksler ideer, og bliver en integreret del af kommunikationsflowet til medarbejderne.
  3. Vær synlig – hele tiden. Enkeltstående kampagner er ganske enkelt ikke nok. Og så skal man kommunikere i klart og tydeligt sprog, så it-sikkerhed ikke bliver en eller anden mystisk black-box, der kun forstås af de indviede.
TDC’s kaffebar blev iklædt budskabet om ikke at diskutere fortrolige sager i det offentlige rum.

Vil du vide mere?

Hvis du er interesseret i it- og cybersikkerhed, kan du læse mere under vores mærkesag etik, privacy og sikkerhed eller tage del i vores udvalg for it-sikkerhed.

Artiklen er skrevet i forbindelse med den nationale cybersikkerhedsmåned, som IT-Branchen støtter.

Du er også velkommen til at kontakte Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.