Når IT-sikkerhet blir et HR-ansvar
IT-sikkerhet har i stor grad handlet om systemer og maskiner. Når vi vet at 9 av 10 vellykkede dataangrep starter hos den enkelte ansatte, må vi spørre oss selv om det ikke bør være en sterkere korrelasjon mellom ansattes sikkerhet og IT sikkerhet.
Slik startet Preben Huseby fra Computas sitt foredrag om sikkerhet og HR på Computerworld sin årlige People Tech-konferanse torsdag. Han mener at HR må få en tydeligere rolle i organisasjonens IT-sikkerhet.
– Sikkerhet finnes på mange forskjellige nivåer og er forskjellig fra organisasjon til organisasjon. Men for de ansatte er det ofte knyttet til HMS og arbeidsmiljøloven, og det som i sum utgjør den sosiale og psykologiske sikkerheten som gjør at de trives og klarer å utføre arbeidet sitt, sier Huseby, og legger til:
– Fellesnevneren er at det handler om mennesket. IT-sikkerhet handler derimot, i all hovedsak, om system. Burde det ikke være en sterkere relasjon mellom den ansattes sikkerhet og IT sikkerhet?
7 av 10 frykter dataangrep som følge av menneskelige feil
For tredje året på rad har Norstat på vegne av Computas spurt norske bedrifts- og organisasjonsledere i offentlig og privat sektor om digitalisering. I undersøkelsen kommer det frem at 70 prosent frykter dataangrep som følge av menneskelige feil eller manglende kompetanse. Huseby er ikke overrasket.
– Frykten er jo reell når vi vet at 90 prosent av alle vellykkede angrep faktisk skyldes menneskelige feil. Det er kanskje ikke så rart når kun tre prosent av IT-budsjettet går til sikring av de ansatte.
Han mener det er helt essensielt at bedriftene både har gode IT-sikkerhetsløsninger, men også at de jobber aktivt med å senke risikoen for de menneskelige feilene gjennom opplæring og oppfølging av de ansattes sikkerhetskunnskaper. For å påvirke og hjelpe de ansatte mener han at vi må se på det helt grunnleggende i menneskelig atferd.
– Selv om den ansatte vet, betyr det ikke at vedkommende bryr seg nok. Og kreves det noe som er unaturlig i arbeidsprosessen, blir det ikke gjort. Derfor er hva de ansatte gjør langt viktigere enn hva de vet, sier han, og følger opp med et eksempel:
– Hvis du ser at pennen din triller ned fra pulten tipper jeg de fleste automatisk forsøker å stoppe den fra å falle ned, kanskje med det resultatet at en kaffekopp blir tømt utover tastaturet. Selv om alle jo er klar over at kaffe i tastaturet er mer skadelig enn en penn som faller ned på gulvet. Slike reaksjoner er også naturlig i arbeidshverdagen vår, vi handler på ren intuisjon. Får man for eksempel en epost fra en tilsynelatende leverandør som man har dialog med – og denne etterspør noe og ber om et raskt svar – så forsøker man å gi det fremfor å stille spørsmål om hvorfor vedkommende spør. Konsekvensen kan være at man sitter i fellen.
Huseby tror vi må se på andre måter å lære organisasjonen IT-sikkerhet på enn kun å tildele informasjon.
– Isolerte kurs er vel og bra, men vi må kontinuerlig øve, teste og kontrollere. Tallene er tydelige: de som har en høy grad av sikkerhetskultur rammes de også, men konsekvensene er mindre siden de ansatte stopper hendelsen. For å skape en slik kultur må hele organisasjonen tenke sikkerhet. HR kan de ansatte, IT kan sikkerheten – sammen må de forenes, avslutter han.