Kampen mellem hackere og virksomheder, om at være først til at finde og lukke sikkerhedshuller, kan fortsætte i det uendelige. Og selvom det er et våbenkapløb, som virksomhederne ikke kan tillade sig at melde sig ud af, så er det ikke nødvendigvis på den front, at krigen i sidste ende vindes.
30 procent af alle sikkerhedshændelser i en virksomhed skyldes faktisk medarbejderne, hvis man skal tro de 9.500 topleder, som PwC har spurgt i deres årlige Global State of Information Security Survey.
”Erfaringerne viser igen og igen, at det svageste led i it-sikkerhedskæden er det menneskelige. Netop derfor er det så vigtigt, at man går ind og arbejder på at opbygge en reel sikkerhedskultur i virksomheden, hvis man skal forbedre it-sikkerheden,” siger Kenneth Aukdal, der er Security Awareness & Communications Manager i TDC.
Han oplever da også, at man flere steder er begyndt at ansætte deciderede kommunikationsfolk til at håndtere kommunikationen vedr. it-sikkerhed. Simpelthen for at sikre, at budskaberne også udmønter sig i reelle adfærdsændringer.
It-sikkerhed handler om mere end den årlige awareness-kampagne
Skal man lykkedes med en decideret adfærdsændring, hvor sikkerhed er en integreret del af virksomhedens DNA, kan man ifølge Kenneth Aukdal ikke nøjes med den årlige awareness-kampagne, hvor man med et par plakater og en artikel på intranettet gør opmærksom på, hvad medarbejderne skal gøre og ikke gøre.
”Du kommer ingen vegne, hvis du blot én gang om året kommer med en kampagne – og hvis den så ovenikøbet kun er en løftet pegefinger. Skal du ændre kulturen, skal du hele tiden hjælpe medarbejderne til at tænke over it-sikkerheden og give dem nogle enkle og konkrete værktøjer til at kunne agere rigtigt.”
I TDC kommer man f.eks. op til ferierne med artikler om gode sikkerhedsråd til rejsen, man laver løbende små digital huskesedler og publicerer artikler, der gør det nemt at huske på it-sikkerheden.
Tæt samarbejde på tværs af kanaler
Webcam covers, nøgleringe, og andre fysiske reminders er som sådan fine nok til at skabe awareness. Men skal man for alvor rykke, kræver det et tæt samarbejde med bl.a. HR og kommunikationsafdelingen.
”Det letteste sted at blive usynlig med sit budskab, er faktisk på intranettet, hvor man hurtigt drukner i 1.000 af andre informationer. Så det er vigtigt at være bevidst om, at sikkerhedsbudskaberne skal ud over det hele i virksomheden, så de også rammer ned i dagligdagen,” forklarer Kenneth Aukdal.
Ligesom med de traditionelle forandringsopgaver handler det derfor om at lave et godt og tæt samarbejde med både HR, kommunikationsafdelingen og hele lederlaget i virksomheden, så man sikrer, at budskaberne doseres rigtigt og kommer ud til i hele organisationen.
Lykkedes man ikke med det, så vil man hurtigt fejle i forhold til at opbygge en reel sikkerhedskultur.