Man checking laptop in factory
Cybersecurity

It-sikkerhed: Ledere skal kigge på medarbejder-adfærd i stedet for på teknikken

Ledere læner sig for meget op ad teknikken, når det gælder it-sikkerhed. I stedet skal de fokusere på medarbejdernes opmærksomhed og vaner. Det er dem, der for alvor gør forskellen.

Sikkerheds-software er vigtig og uundværlig. Men ifølge Esben Kaufmann, Head of Cyber Security Consulting i NNIT, bør ledere alligevel fokusere mindre på teknik og mere på den menneskelige side, hvis de vil højne it-sikkerheden i deres virksomhed. Det handler om at hjælpe sine medarbejdere med at indarbejde sikre vaner og rutiner. Og det handler om at spise elefanten i små bidder.
Man skal lede længe efter et ord, der er lige så tørt og kedeligt som ordet ”data-klassifikation”. Men ikke desto mindre holder Esben Kaufmann fast i, at det er her det hele begynder. For at understrege sin pointe tegner han en parallel til vores adfærd som privatpersoner: Du passer godt på din pung og dit pas. Men du er knap så omhyggelig, eller måske nærmest ligeglad, når det gælder en kvittering på dagligvareindkøb fra Brugsen.
Sådan skal det også være på jobbet. Man skal lære at blive bevidst om, hvilke data der er knap så vigtige og følsomme og hvilke der skal håndteres som fortrolige. Eksempler på det sidste kunne f.eks. være bestyrelsesrapporter og kundekartoteker med cpr-numre.
Desuden understreger Esben Kaufmann, at sikkerhedsrisikoen opstår i sprækkerne mellem systemerne. Det bliver farligt, når data flyder rundt, f.eks. når man sidder i et Teams-møde og lige skal dele et dokument, når cpr-numre lægges over i et Word-dokument eller når fortrolige data kopieres ind i et Excel-ark.

Virtual reality cybersecurity training of physical workspace

Inge høje mure

»Tidligere kunne man beskyttede sine værdier ved at lukke dem inde bag høje mure,« forklarer han.
»Det kan man ikke med data, fordi data ligger decentralt ude i virksomheden. Du kan ikke centralisere din databeskyttelse. Derfor skal man give sine medarbejdere gode tools og vaner til at håndtere data forsvarligt. Det starter med, at man lærer at skelne mellem forretningskritiske data og data, der er knap så vigtige at beskytte. Det er her data-klassifikation kommer ind i billedet. Først når man får klassificeret sine data kan man begynde at arbejde centralt med dem, f.eks. designe systemerne sådan, at personhenførbare data eller lignende ikke kan sendes ud af huset.«

Kun få gennemfører

Samtidig erkender Esben Kaufmann, at kun ganske få virksomheder formår at gennemføre en gennemgribende klassifikation af alle data i virksomheden. Efter snart 30 år med digitalisering er datamængden simpelthen blevet for stor. Derfor anbefaler han, at man spiser data-elefanten i små bidder. En god måde at starte på er at kigge fremad i stedet for bagud. Glem i første omgang de gamle data virksomheden har akkumuleret og indfør i stedet en fremadrettet data-klassificering. Og den skal være nem for medarbejderne både at forstå og udføre.
»Som leder skal man arbejde hen imod, at man selv og medarbejderne får nogle vaner ind på rygraden. Det kan f.eks. være, at hver gang vi arbejder med en bestyrelsesrapport eller et andet forretningskritisk dokument, så trykker vi på den knap i Word, PowerPoint eller Excel, der klassificerer dokumentet og kategoriserer det som Highly Confidential. Det er der vi skal hen,« siger han.

Vælg nogle få

”Keep it simple” – sådan lyder Esben Kaufmanns anbefaling. Man bør nøjes med at udvælge et eller måske to sikkerhedsprodukter, som man så til gengæld implementerer grundigt i hele organisationen. Han nævner en analyse, der viser at kun 37% af de sikkerhedsprodukter, som virksomheder køber ind, faktisk også bliver implementeret. Resten kommer aldrig ud af kælderen. Ikke mindst er mange sikkerhedsprodukter for svære at håndtere og ikke tilstrækkeligt integrerede i medarbejdernes daglige workflow.
»Alt for mange ledere læner sig op ad teknikken. Men det tekniske er det mindst vigtige her. I sidste ende er det dig og mig, der arbejder med data, der er afgørende. Vi skal have nogle enkle, effektive værktøjer, der giver os mulighed for få datasikkerhed ind på rygraden. Man skal finde noget teknik, der understøtter de gode vaner. Det må ikke være teknikken, der driver vanerne. Så når man aldrig i mål,« advarer Esben Kaufmann.
»Datasikkerhed skal være præcis lige så nem og naturlig, som når man tager nøglen op af lommen og låser sin hoveddør.«


Er I klar til at beskytte jeres forretningskritiske IT?

Det globale kapløb om at inddæmme og kontrollere COVID-19-pandemien er en hård og brutal påmindelse om nødvendigheden af solid Business Continuity Management (BCM). Den omfattende karantæne har med et gjort den digitale arbejdsplads afgørende, og cyberkriminelle står på spring til at udnytte situationen. Har I en plan klar for at beskytte og genskabe de IT-systemer, der er afgørende for at holde jeres forretning kørende?

Se mere her


NNIT's Cyber Defense Center er klar til at hjælpe døgnet rundt.

Sofistikerede cybertrusler og målrettede angreb har grundlæggende ændret vores prioriteringer og den måde, vi beskytter virksomhederne på.

Virksomhedens primære sikkerhedsstrategi er stadig at undgå angreb, men da angreb efterhånde er stort set uundgåelige, bliver det stadigt vigtigere at kunne opdage og reagere på angreb hurtigt og effektivt.

Med NNIT's fem-fase model, vil vi kunne hjælpe dig før, under og efter et angreb.


Se mere her

Hvor hurtigt kan dine medarbejdere spotte potentielle sikkerhedsbrud?

Klik her for at se hvordan VR Træning kan hjælpe med at gøre medarbejderne mere sikkerhedsbevidste.

Sikkerhed og compliance rangerer højere på prioritetslisten hos topledelsen end tidligere. Øget migration til skyen har skabt et fragmenterede trusselsbillede, som sammen med COVID-19 pandemien understreger, at sikkerhed og compliance skal have topprioritet på ledelsesplan.

Læs artiklen her (Engelsk artikel)

Vores eksperter står klar til at hjælpe dig

Kontakt os, så finder vi en løsning, der passer til dine behov

Kontakt Os
Nnnit Portrait Nhkap