/Subpage_toppicture.gif)
It-sikkerhet: Har du kjennskap til brukernes moral, etikk, holdninger og atferd? |
/Printer_Icon.gif){kind=icon} |
Av sikkerhetsekspert Jesper Lundorf
Alle som reiser med fly kjenner til sikkerhetskontrollen i lufthavnen. For mange er lufthavnen begynnelsen på en ferie man har gledet seg til. Men gleden forsvinner lett når man som en annen kriminell får den kjølige drikken man nettopp har kjøpt konfiskert og blir bedt om å ta av skoene og belte.
Sikkerhetsnivået er hevet i lufthavnens sikkerhets- og innsjekkingsområder - denne innskjerpingen påvirker automatisk alle reisende. Men årsaken til at mange føler dette som en plage og irritasjon, skyldes at de ikke forstår hvorfor de skal belemres med denne "overdrevne" sikkerhet. Noen synes til og med at de med rettferdig harme kan opptre fornærmende og provokerende. De føler de får sikkerheten trukket nedover hodet på seg, uten begrunnelse.
En annen situasjon fra hverdagen, er når vi blir forstyrret av bilalarmer. Vi er så vant med at de fleste bilalarmer er falsk alarm, så vi reagerer ikke på dem. Eksemplene viser to reaksjonsmønstre mht. sikkerhet - det reaktive og det passive.
Reaksjoner fra den fysiske verden blir også overført til den digitale verden. Atferd og holdninger kommer derfor ofte til å bære preg av utilfredshet fordi de kommer i konflikt med forståelsen for nødvendigheten av økt sikkerhet. Hvis medarbeidere plutselig ikke lenger kan laste ned eller streame mediefiler, kan bety at deres atferd endrer seg til å være motarbeidende. I verste fall ignorerer de ansatte bedriftens restriksjoner eller fjerner dem for å kunne laste ned det de ønsker - ikke akkurat et ukjent fenomen. Mange bedrifter opplever dessuten at medarbeidere ikke passer godt nok på passord, men både låner bort passord og benytter andres, akkurat som i den fysiske verden hvor ansatte låner bort deres adgangskort til andre. Resultatet blir svekket sikkerhet.
Hvis moral, etikk og forståelse innenfor it-sikkerheten var i orden, ville en stor del av de mange spam-e-postene være unngått. Hvis medarbeiderne forstod hvor mange ressurser som forbrukes når de sender en morsomhet eller et bilde til hele deres kontaktliste, tror jeg antallet slike meldinger ville reduseres betraktelig. I tillegg til å ta en stor del av bedriftens båndbredde og dermed senke nødvendig trafikk, så er det moralsk og etisk problematisk. For hvis det faktisk var helt OK å sende morsomheter og bilder på denne måten, hvorfor sender medarbeiderne dem da ikke med posten, med bedriftens logo og stempel? Det kunne nok medarbeiderne nok aldri drømme om å gjøre, for der er forståelsen og moralen jo en annen - eller er den det? Det er jo nøyaktig det samme de gjør digitalt.
Kombiner programvare og brukerutdannelse
Det finnes dessverre ingen sikkerhetssystemer som fungerer optimalt, hvis ikke brukerne er motivert og innforstått med både formålet og logikken bak systemet. Det er på dette punktet at mange bedrifter er sårbare mht. it-sikkerheten. Bedriftene investerer ofte i veldig dyre sikkerhetsløsninger, men glemmer å utdanne medarbeiderne. Og hvis medarbeiderne ikke forstår hvorfor sikkerheten er nødvendig, så blir de ofte umotiverte og anser den for å være til hinder i deres arbeid.
Det kommer aldri noen enkel og statisk løsning som kan fjerne alle sikkerhetsproblemer. I tillegg til selve sikkerhetskonseptet - f.eks. spamfiltre, antivirus, inntrengningsbeskyttelse osv. så handler sikkerhet om fire grunnleggende ting:
Moral, som vi alle har eller bør ha. Vi kan gjerne ha verdens beste sikkerhetssystem. Men uten moralen vil vi aldri få den ønskede sikkerheten.
Atferd, som avslører den måten vi gjør tingene på. Dårlig sikkerhetsatferd er en utfordring for ethvert sikkerhetssystem, spesielt hvis det gjelder atferden til en betrodd medarbeider som har adgang til det meste av bedriftens data.
Holdning, som er et grunnelement ved personligheten. Hvis vi ikke har noen holdning, eller vår holdning er dårlig, vil ingen sikkerhetssystemer kunne fungere med oss som brukere.
Etikk, som grunnleggende er et regelsett for hva bedriften vil akseptere innenfor gitte rammer. Uten etiske regler vil alt være tillatt.
It-sikkerhet handler om oss mennesker, vår bevissthet, atferd og særlig om vår tilpasningsevne. Så ved investering i dyre sikkerhetsløsninger, er det viktig å investere tilsvarende i holdningsarbeid og utdanning av medarbeidere.
