Under lång tid har arbetet med IT-säkerhet delats upp i två delar. Den ena delen handlar om ett systematiskt arbete med rutiner och handlingsplaner. Den andra delen, för att motarbeta mer sofistikerade attacker, handlar om att implementera komplexa säkerhetslösningar för att skydda känslig data. På senare tid har vi sett ett skifte från ett ”lager på lager”-skydd till allt större fokus på att skydda användarnas identiteter. Men trots att genomtänkta handlingsplaner och välutvecklade säkerhetslösningar finns på plats så läcker värdefull information från företag.
Oavsett vilken studie om IT-säkerhet du läser kommer den mänskliga faktorn vara en av de tre vanligaste orsakerna till att data sprids. Även om rutiner och handlingsplaner hjälper till att beskriva hur processer ska gå till är det ändå människors beteende som har den största påverkan. Därför kommer förändringsledning vara den tredje delen i framtida säkerhetsarbete.
Medarbetare blir utmattade av mängden nya säkerhetsrisker
IT-organisationer genomgår just nu en förändring, från att drifta en IT-miljö på klassiskt vis, till att erbjuda olika typer av tjänster. Det leder till att IT-organisationen får större ansvar att skapa medvetenhet och utbilda personalen om både säkerhet och verktyg för att undvika dataläckor orsakade av den mänskliga faktorn.
Som ett resultat av uppgivenhet, brist på förståelse och låg kontroll har fenomenet säkerhetströtthet blivit allt vanligare. Enligt en studie från National Institute of Standards and Technology (NIST) i USA uttrycker många att de inte mäktar med alla nya säkerhetsrisker som man kan utsättas för, vilket resulterar i att man inte vidtar några säkerhetsåtgärder alls. Här behöver IT-organisationen ta vid och hjälpa sina medarbetare att förstå hur och varför man måste låta säkerhetsarbetet bli en del av det vardagliga arbetet. Även om vi IT-ansvariga uppfattar säkerhetsarbete som något enkelt och självklart är det långt ifrån sanningen för medarbetare utanför IT-organisationen.
Hur driver man säkerhetsarbetet genom förändringsledning?
I Sverige identifierar 84% av IT-cheferna på svenska storföretag den mänskliga faktorn som den största säkerhetsrisken. Det ligger i alla företags intresse att lyckas med säkerhetsarbetet och realisera de stora investeringar som görs i nya säkerhetssystem.
Vi på Coligo har märkt att om medarbetare upplever att säkerhetsarbetet stör och försvårar vardagliga arbetsuppgifter så kommer de snart hitta andra vägar för att uppnå sina mål. Säkerhetsarbete måste alltid ha medarbetaren i fokus.
För att ändra medarbetares beteende krävs starkt ledarskap och ett stort engagemang på ledningsnivå. Mänskligt beteende är inte helt lätt att ändra och misstag som medarbetare gör kan sällan skyllas enbart på individen. Det är viktigt att ledningen skapar en företagskultur som betonar vikten av säkerhet. För att dina investeringar och ditt säkerhetsarbete ska få så stor effekt som möjligt måste du därför hjälpa till att inte bara möjliggöra utan också driva förändringen hos dina medarbetare.
Så kan du som ledare bidra till en högre säkerhetsmedvetenhet:
1. Skapa medvetenhet genom välgörenhet
Ett sätt att uppmärksamma säkerhetsarbete är att göra det genom en god gärning. Ett bra exempel på detta är när XL Group arrangerade en kampanj för att skänka $10 000 till Läkare utan gränser på premissen att de anställda såg en informationsvideo om problem som phishing, botnät, social hackning. Kravet för att pengarna skulle skänkas var att videon hade 10 000 visningar innan kampanjen tog slut. Resultatet blev mer än 4 500 medarbetare som engagerade sig i kampanjen, samtidigt att säkerhetsämnet stod högst upp på agendan i flera veckor.
2. Anpassa tempo med nedräkningsverktyg
En vanlig orsak till att den mänskliga faktorn leder till dataläckor är att arbetstempot är för högt och att medarbetaren inte hinner tänka efter förrän data har läckts. Det finns flera företag som har en lösning på problemet, däribland Microsoft. Genom att fördröja skickandet av email skapar du möjlighet för medarbetaren att stoppa ett meddelande som innehåller något som bör skyddas innan det går ut. Det här är ett exempel på enkla sätt att anpassa arbetstempot. Det finns andra företag som tar det här ännu längre genom att implementera nedräkningsverktyg för allt från att publicera inlägg till att dela dokument.
3. Engagera med gamification
Gamification är ett hett modeord inom förändringsledningen som innebär att man applicerar element från spelvärden på en arbetsuppgift, exempelvis genom att använda poängräkning. Gamification kan användas exempelvis i utbildning om phishing. Organisationen kan under en period skicka ut egna phishingemail, och låta medarbetarna identifiera dessa. De medarbetare som lyckas bäst belönas sedan med någon typ av pris.
4. Visa tacksamhet
Ett tack räcker långt sägs det ibland, och det är sant även i IT-säkerhetsarbete. Offentligt visad tacksamhet är ett effektivt verktyg, enligt amerikanska UL LLC som forskar på säkerhet. UL LLC undersökte hur tacksamhet påverkar medarbetares benägenhet att rapportera phishing genom att offentligt tacka de första som rapporterade phishingförsöket och samtidigt meddela deras chef om gärningen. Resultatet av studien visade att rapporterna om verkliga phishingförsök ökade med 100 gånger och en minskning av virus-relaterade supportärenden på 19%.
Stärk ditt säkerhetsarbete idag
Behöver du hjälp med att göra förändringsledning till en del av ditt säkerhetsarbete? Vi på Coligo hjälper gärna till att utveckla sättet ni arbetar med IT-säkerhet. Kontakta oss idag för att veta mer om hur vi kan stötta er IT-organisation.