Hør it-sikkerhedsrådgivers bud på, hvorfor flere it-sikkerhedskrav ikke altid er det rigtige
Sådan lyder det fra Mads Schaarup Andersen fra Alexandra Instituttets Security Lab, der er blevet interviewet til podcasten Cyberpilot. Mads har en forskningsmæssig baggrund inden for sikkerhed og privacy set fra brugerens perspektiv og arbejder med at implementere sin viden i danske virksomheders praksis.
Han mener, at der godt kan være en tendens til, at man tænker lidt for simpelt i, hvordan sikkerhed spiller ind i brugernes arbejdsgange.
"Man ser brugerne som noget, der skal fikses. Det er for simpelt at tænke på den måde. I stedet bør man se på, hvad det er for nogle krav, som bliver stillet til medarbejderne. Det kan godt være, at brugerne også skal lære noget om sikkerhed. Men der kan omvendt også være andre ting, som man kan skrue på for at få bedre sikkerhed," forklarer han.
Et eksempel er passwords, hvor det er kutymen, at man skal skifte passwords hver tredje måned. Men her viser forskningen, at det i den sidste ende faktisk giver dårligere passwords, fordi du hele tiden skal have – og ikke mindst huske – et langt, komplekst password.
“Det betyder, at folk i stedet finder et system til at gøre det nemt. Det kan være et tal i slutningen af passwordet, hvor de bare tæller én op hver gang. Det betyder, at det er ret trivielt og hurtigt at gætte det næste password, hvis man skulle få fat i det gamle,” forklarer han.
Folk har grænse for sikkerhedskrav
For mange it-sikkerhedskrav kan have negativ effekt, forklarer han. Det bliver også bekræftet af et engelsk studie, hvor man fandt ud af, at alle folk har en grænse for, hvornår de synes, at der er for mange sikkerhedskrav. Og går man over den grænse, så falder sikkerheden rigtig hurtigt. Kurven flader ikke ud, men man får faktisk en dårligere sikkerhed, hvis man overimplementerer sikkerhedskrav.
"I den sidste ende betyder det, at man kan opnå en højere sikkerhed ved at stille færre krav. Det kan godt være, at det på papiret ikke virker så sikkert. Men i praksis kan det vise sig at være sikrere," forklarer han.
Omvendt kan det være en god idé at få ryddet op i de ting, som fylder i medarbejdernes bevidsthed, og som måske ikke skaber noget reel sikkerhed.
“Det vil både blive nemmere for medarbejderne, og du vil få en bedre, reel sikkerhed, hvis man kan få identificeret nogle af de ting, som gør folk trætte af sikkerhed, og som ikke giver nogen reel værdi. Man vil bebyrde folk mindre og stadig få en høj sikkerhed.”
Se på, hvad der giver reel sikkerhed
Helt lavpraktisk så kan man starte med at tage fat i de her klassiske it-sikkerhedsregler og gå dem igennem punkt for punkt. Det kunne være clean desk policy og ændring af password hver tredje måned. Giver det nogen reel sikkerhed? Eller er det bare noget fyld, som man har fra en historisk kontekst.
"Clean desk kan være vigtig i nogle sammenhænge. Men hvis man opdager, at folk i organisationen ikke overholder reglerne, og at det faktisk ikke giver nogen problemer, så skal man måske bare hive det ud af politikken."
“Der er tendens til, i hvert fald i nogle organisationer, som måske ikke er så modne på det her område, at sikkerhed til medarbejderne bliver en form for énvejskommunikation. Man ruller nye tiltag ud uden at se på, hvilken effekt det har på medarbejdernes hverdag. Den information om, hvordan det passer ind, får man ikke med. Det betyder, at man i den sidste ende får dårligere sikkerhed,” forklarer han.
Det er især vigtigt at huske, at medarbejderne bryder ikke sikkerhedspolitikken, fordi de er ligeglade. De gør det, fordi de er sat i verden for at løse nogle arbejdsopgaver.
"Det er vigtig at få en idé om, hvordan medarbejderne oplever sikkerhedskravene i deres hverdag – og ikke mindst, hvor ser de problemerne henne. Som it-ansvarlig er det vigtigt at komme ud og snakke med medarbejderne og forstå deres virkelighed. Hvorfor bryder de politikken? Er det fordi, at de mangler et værktøj?"
Samtidig er det vigtigt at få ledelsens opbakning til de forskellige tiltag. Man kan have nok så mange gode hensigter, men hvis du ikke får ledelsen med om bord, så bliver det svært, lyder rådene fra Mads Schaarup Andersen.
Hvis du er i tvivl om, hvordan jeres it-sikkerhedskrav passer ind i jeres medarbejderes arbejdsgange, og kan du nikke genkendende til pointerne i det ovenstående og podcasten, så tag fat i Mads. Han er vores absolutte ekspert til at rådgive om, hvordan I kommer i gang med at få bedre it-sikkerhed og medarbejdere, der er venligere stemt over for it-sikkerhed.
Nøgleord
Billeder
Information om Alexandra Instituttet
Åbogade 34 · Rued Langgaards Vej 7
8200 Aarhus N · 2300 København S
+45 70 27 70 12https://alexandra.dk
100 eksperter under ét tag
Alexandra Instituttet hjælper offentlige og private virksomheder med at anvende den nyeste it-forskning og -teknologi. Vores udgangspunkt er samfundsmæssige problemstillinger og behov for at omsætte den nyeste forskning til innovative løsninger.
Hos os finder du stærke kompetencer inden for blandt andet visual computing, kunstig intelligens, IoT, cybersikkerhed, interaktionsdesign og smarte produkter.
Vi arbejder i et tværfagligt miljø og er et hold af højtkvalificerede specialister, der hurtigt kan forstå din organisations og dine brugeres problemstillinger.
Følg pressemeddelelser fra Alexandra Instituttet
Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.
Flere pressemeddelelser fra Alexandra Instituttet
GreenTec når længere med grønne greb18.4.2024 08:16:55 CEST | Pressemeddelelse
GreenTec A/S i Kolding har produceret maskiner til pleje og vedligeholdelse af grønne arealer i over 40 år. Nu er familiefirmaet midt i en større digital og bæredygtig omstilling og har bl.a. halveret udgifterne og sparet 70 ton CO2-udslip på deres transport om året.
AI og anonym headcount får mere ud af kvadratmeterprisen21.3.2024 10:47:22 CET | Pressemeddelelse
Danske Ubiqisense har skabt en intelligent sensor, der tæller mennesker anonymt, så f.eks. mødelokaler kan udnyttes bedre. Et forløb med Alexandra Instituttet har nu fordoblet præcisionen af Ubiqisense’ intelligente løsning.
Lise Bering er ny bestyrelsesforperson i Alexandra Instituttet20.3.2024 14:23:59 CET | Pressemeddelelse
Lise Bering, der er kommerciel direktør i Norlys Digital, er ny bestyrelsesforperson i Alexandra Instituttet. Hun afløser Steen Lynenskjold fra Terma, der efter eget valg forlader posten efter 15 år. Samtidig indtræder Hanna Svae som bestyrelsesmedlem.
Færre teknikere skal flyve verden rundt: AR-værktøj gør kunder mere selvhjulpne15.3.2024 10:17:58 CET | Pressemeddelelse
En ny prototype på et AR-værktøj hjælper Fibo Intercons kunder i hele verden med fejlsøgning på betonblandeanlæg. Virksomheden kan dermed undgå store omkostninger og reducere CO2-udledningen. Den nye prototype er resultatet af et MADE demonstrationsprojekt, som Industriens Fond står bag.
Alexandra Instituttet styrker ledelsen med to markante profiler28.2.2024 06:00:00 CET | Pressemeddelelse
Morten Spanner Christiansen og Ronnie Siegumfeldt Andersen indtræder i Alexandras management og får ansvar for hhv. kommerciel aktivitet og HR. Med de nye profiler ønsker Alexandra at styrke danske virksomheders konkurrenceevne og imødekomme den stigende efterspørgsel efter digitale kompetencer.
I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.
Besøg vores nyhedsrum