Et spørsmål om holdninger

De siste 10-15 årene har de aller fleste virksomheter investert store summer i sikkerhetsløsninger. Nettverk og enheter er beskyttet så godt det lar seg gjøre. Det som gjenstår er å tette det menneskelige sikkerhetshullet. Det handler om å bygge gode holdninger og gode vaner – fra topp til bunn i en organisasjon.

I vår gjennomførte vi en undersøkelse blant ledere i 100 norske kommuner og 256 private bedrifter for å kartlegge sikkerhetstilstanden i norske virksomheter. Vi ble overrasket over noen av funnene. (Undersøkelsen er foretatt av Norstat blant et representativt utvalgt av bedrifter over 50 ansatte og norske kommuner i april 2012.)

To av tre virksomheter sier de har en it-sikkerhetspolicy som alle ansatte kjenner til, men hele 1/3 svarer at de ikke har det. Det er godt mulig de da har en policy (alle virksomheter med respekt for seg selv må ha det), men policyen er verdiløs fordi brukerne ikke har noe forhold til den. Manglende kunnskap og sviktende holdninger til sikkerhetsproblematikk blant virksomhetens ansatte kan utgjøre en like stor sikkerhetstrussel som manglende sikring av det trådløse nettverket.

Tenk deg følgende: En sympatisk, men fremmed mann dukker opp i virksomhetens lokaler og sier han er tidlig ute til et møte. Han ber pent om nettverkstilgang for å sende noen eposter mens han venter. Er sjansene til stede for at han faktisk får passordet av en velmenende ansatt? Definitivt – hvis den ansatte ikke vet at bedriftens sikkerhetspolicy forbyr dette. Og når 29 prosent av de spurte i vår undersøkelse avviser at deres bedrift har en it-sikkerhetspolicy som alle kjenner til bør det ringe i noen alarmklokker hos hver tredje norske it-sjef.

Det finnes også andre trusler man effektivt kan sette en stopper for gjennom holdningsskapende arbeid. Ta for eksempel ordinære telefonsamtaler. La oss si at "Ola fra it" ringer og ber en medarbeider om passordet for å løse et problem. Eller at noen får en epost hvor man bes om å laste ned en programvareoppdatering. På noen få sekunder kan ondsinnet programvare ha infisert nettverket, eller store mengder data blitt kopiert.

En god sikkerhetspolicy må være enkel, konkret, lett tilgjengelig og oppleves inkluderende for brukerne. Dersom den brytes, må det være systemer på plass som sørger for at brukeren informeres om hvorfor dette ikke er lov, og forklares potensielle konsekvenser.

Den moderne arbeidstaker vil gjerne kunne jobbe fra kaféen på hjørnet eller fra hotellet i ferien – og benytte sin bærbare datamaskin, smarttelefon eller Ipad. De fleste bruker enhetene like mye privat som til jobb. For virksomheten betyr dette at man åpner for en helt ny verden av trusler. Ett uoverveid klikk på en Facebook-link kan være nok til at det spres et virus neste gang enheten kommer inn i bedriftens nettverk.

En av tre it-sjefer oppgir at de anser Facebook som en sikkerhetstrussel. Er det da riktig at enheter brukes på denne måten? Det må være opp til hver enkelt bedrift og it-sjef, men beslutningen kan ikke tas lett på. Iverksett relevante, tilstrekkelige og effektive tiltak slik at "forretningsprosesser" har tilgang til informasjon med nødvendig konfidensialitet, integritet og tilgjengelighet. Og igjen: Sørg for at medarbeideren din har it-policyen trygt plassert fremst i pannebrasken.

88 prosent av de spurte i undersøkelsen mener holdning til sikkerhet er viktig. Det er gledelig. En sikkerhetspolicy kan være et godt verktøy for å høyne den generelle sikkerhetsbevisstheten i en virksomhet. Vi klarer kanskje ikke å skape sikkerhetseksperter, men med relativ enkel opplæring kan vi øke bevisstheten og unngå at brukerne gjør de største feilene, som å gi fra seg passord eller slippe ukjente mennesker inn.

Oppfordringen til alle som ønsker å sikre seg mot et stadig økende og forvirrende it-trusselbilde blir derfor: Få på plass fysisk sikring og it-sikkerhet, men glem for all del ikke å lære opp medarbeidere i egen it-policy. Gode holdninger gir gode vaner – og trygge data.

Dag Sørlie, produktsjef sikkerhet, Datametrix