/Subpage_toppicture.gif)
It-sikkerhed: Har du styr på brugernes moral, etik, holdninger og adfærd? |
/Printer_Icon.gif){kind=icon} |
Af Sikkerhedsekspert Jesper Lundorf
Rejsende kan formentlig godt nikke genkendende til den situation de møder i lufthavnen. For de flestes vedkommende er det ofte starten på en god ferie. Men idyllen bliver brudt når den rejsende, som en anden kriminel, bliver bedt om at tage sko og livrem af og dernæst smide sin nyligt indkøbte sodavand ud.
Sikkerhedsniveauet er blevet øget i lufthavnenes security og indtjekningsområder - denne skærpelse påvirker automatisk alle rejsende. Men årsagen til at nogle føler sig forurettede og forulempede, er fordi de ikke forstår, hvorfor de skal være en del af denne "overdrevne" sikkerhed. Nogle synes ligefrem, at de er i deres gode ret til både at være fornærmede eller optræde provokerende. De føler at de har fået trukket sikkerhed ned over hovedet - uden at forstå hvorfor.
En anden situation, som mange sikkert kender fra deres hverdag, er den hvor vi af og til bliver forstyrret af en bilalarm. Men vi har vænnet os til at det i de fleste tilfælde er en falsk alarm, altså brugeren, der har lavet en fejl, og derfor tager ingen notits af bilalarmen. Altså to former for reaktioner på sikkerhed, den reaktive og den passive.
Reaktioner fra den fysiske verden bliver også overført til den digitale verden. Adfærd og holdning kommer derfor ofte til at bære præg af utilfredshed, fordi det kolliderer med forståelsen for nødvendigheden af øget sikkerhed. At medarbejderne pludselig ikke længere kan downloade eller streame mediefiler, kan indebære at deres adfærd ændrer sig til at være modarbejdende. I værste fald ignorerer de ansatte virksomhedens restriktioner eller fjerner dem for selv at kunne downloade det de ønsker - et ikke helt ukendt fænomen. Mange virksomheder kan formentlig også nikke genkendende til lemfældig omgang med passwords - hvor brugere både låner og bruger andres password - fuldstændig som i den fysiske verden, hvor ansatte låner deres adgangskort til andre. Resultatet er, at sikkerheden nedbrydes.
Hvis moral, etik og forståelse inden for it-sikkerhed var på plads, så ville en stor del af de mange "spam-mails", der dagligt bliver sendt i omløb kunne være undgået. Hvis medarbejderne forstod hvad det koster af ressourcer - når de sender en joke eller et sjovt billede til hele deres mailingliste - så tror jeg, at knap så mange mails ville blive sendt på denne måde. Ud over at det optager en stor del af virksomhedens båndbredde, og dermed sænker den nødvendige trafik, så er der rent moralsk og etisk også noget grundlæggende helt forkert. Hvis det virkelig var OK at formidle vittigheder og billeder på denne måde - hvorfor sender medarbejderne det så ikke med posten med virksomhedens logo og stempel på? Det kunne medarbejderne sjovt nok aldrig drømme om at gøre, for der er forståelsen og moralen, jo en anden - eller er den? For det er jo præcis det samme de gør digitalt.
Kombinér software med brugeruddannelse
Der er desværre intet sikkerhedssystem der virker efter hensigten, hvis ikke brugerne er motiveret og indforstået med både formålet og logikken med sikkerheden. Det er her, mange virksomheder har et hul i deres it-sikkerhed. Virksomhederne investerer typisk i meget dyre sikkerhedsløsninger, men glemmer uddannelse af medarbejderne. Og hvis medarbejderne ikke forstår hvorfor sikkerheden er nødvendig, så bliver de ofte demotiverede og anser sikkerheden for at være en hindring for deres arbejde.
Der kommer aldrig til at eksistere nogen let statisk løsning, der kan fjerne alle sikkerhedsmæssige problemer. Ud over selve sikkerhedskonceptet - fx spamfiltre, antivirus, intrusion detection mv. så handler sikkerhed fundamentalt kort og godt om 4 ting:
Moral, som vi alle har, eller bør have. Uden den kan vi have verdens bedste sikkerhedsløsning, men vi vil aldrig opnå den ønskede sikkerhed.
Adfærd, som afslører vores måde at gøre tingene på. En dårlig sikkerhedsadfærd vil udfordre ethvert sikkerhedssystem, oftest i egenskab af en betroet medarbejder, der jo har adgang til stort set alt.
Holdning, som er et grundelement i vores personlighed. Har vi ingen holdninger eller en dårlig holdning, så vil intet sikkerhedssystem kunne fungere med os som brugere.
Etik, som i bund og grund er et regelsæt for hvad virksomheden vil acceptere inden for givne rammer. Uden etiske regler vil alt være tilladt.
It-sikkerhed handler om os mennesker, vores bevidsthed, adfærd og især om en kraftig bearbejdning. Så når der investeres i dyre sikkerhedsløsninger, så husk at investere tilsvarende i holdningsbearbejdning og uddannelse af medarbejderne.