Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY

Bevisstgjøring av ansatte – Er det verdt det?

Mange virksomheter har i dag ulike krav om at informasjon og systemer skal sikres.

Bevisstgjøring av ansatte – Er det verdt det?

Mange virksomheter har i dag ulike krav om at informasjon og systemer skal sikres. Dette gjør det nødvendig med bevisstgjøring av ansatte i ulike problemstillinger. Det kan for eksempel være om phising, ransomware, hacking, avlytting og andre trusler. Vi ser imidlertid at det ofte er delte meninger rundt effekten av en slik bevisstgjøring. Gir det de resultatene en ønsker?

Behovet for økt sikkerhetskompetanse er pressende og vil bli kritisk i tiden som kommer.Virksomheter har økende antall systemer, større kompleksitet, og data spres over hele verden gjennom forskjellige sky-tjenester. Dette, sammen med økt bruk av sosiale medier, forskjellige kommunikasjonskanaler, og nye typer enheter (IoT), gjør at den samlede arbeidsstyrken får et grunnleggende behov for økt sikkerhetskompetanse. De virksomhetene som ikke evner å oppdatere sine ansatte vil ha en betydelig økt risiko for sikkerhetshendelser sammenlignet med virksomhetene som lykkes. Dette ser vi store forskjeller på i dag, og jeg er sikker på at vi vil se det enda sterkere i tiden som kommer.

Bevisstgjøring blir gjerne sett på som et kostnadseffektivt tiltak for å øke sikkerheten i virksomheten. Vi erfarer at svært mange virksomheter i Norge ikke klarer å gjennomføre et effektivt bevisstgjøringsprogram, og for de som prøver, skjer det med varierende resultat. Det blir vanskelig å argumentere for at det er verdt det, når virksomheten selv ikke ser målbare resultater. Men jeg mener det er her virksomhetene allerede har gjort feil.

For de ansatte føles ofte opplæringen som et ork i forhold til at de ikke forstår bakgrunnen, og de ønsker ikke bruke tid på det. Dette igjen kan skape en misnøye og negativ innstilling til sikkerhetsarbeidet. Det er utrolig viktig at virksomhetene snakker åpent om målsettingen og inkluderer de ansatte, da må man forklare hvorfor nettopp denne opplæringen er så viktig.

Vi i Fence ser en enorm nytte av økt sikkerhetskompetanse hos de ansatte, men for å oppnå dette er det essensielt at denne opplæringen blir utført på en måte som fungerer, og som kan måles. Det er en fordel å jobbe med dette på samme måte som implementering av andre tiltak i virksomheten. Vi har god erfaring med:

  • forklare bakgrunnen, hvorfor gjør vi dette?
  • involver ansatte så tidlig som mulig
  • snakk åpent om prosjektet; gjør det kjent og relevant for de ansatte.
  • definer målsettinger for opplæringen
  • definer hvilke trusler virksomheten skal forhindre
  • beskriv ønsket effekt for virksomheten

Ved å følge disse prinsippene, erfarer vi at de ansatte er mer positive til opplæringen og målt effekt blir bedre.

Økt bevissthet og kunnskap kan selvfølgelig ikke erstatte teknologiske sikkerhetstiltak, men det er dessverre slik at teknologi blir utdatert, inneholder feil, konfigureres feil eller ikke fungerer som tenkt. Og for en del situasjoner finnes det rett å slett ingen egnet teknologi som kan sikre oss. Jeg har jobbet med IT-sikkerhet i nær 20 år og har lært én viktig ting: ingenting er sikkert. Når vi sikkerhetsbransjen kommer med et nytt tiltak som forhindrer en stor sårbarhet, da finner de kriminelle på noe nytt. Det er bare snakk om hvor lang tid det tar før noe nytt dukker opp.

I mange av tilfellene, der teknologi feiler eller det ikke er mulig med teknologiske, fysiske eller andre administrative sikkerhetstiltak, er man helt avhengig av at de ansatte er forberedt, og det er her vi potensielt kan spare virksomheten for de største kostnadene. (Maersk tapte nærmere 2,5 milliarder på NotPetya tidligere i 2017).

Har dere et sikkerhetsprogram som fungerer godt i deres virksomhet, hva er tilbakemeldingene fra de ansatte, og har dere dokumenterbare forbedringer?