Alexandra Instituttet

Hør it-sikkerhedsrådgivers bud på, hvorfor flere it-sikkerhedskrav ikke altid er det rigtige

Del

Man ser ofte medarbejderne som noget, der skal fikses i stedet for at se på, hvad det er for nogle krav, man som virksomhed stiller til dem, og hvordan kravene passer ind i medarbejdernes arbejdsgange og hverdag. Konsekvensen er, at virksomhedens it-sikkerhedskrav i den sidste ende kan give en dårligere sikkerhed.

Sådan lyder det fra Mads Schaarup Andersen fra Alexandra Instituttets Security Lab, der er blevet interviewet til podcasten Cyberpilot. Mads har en forskningsmæssig baggrund inden for sikkerhed og privacy set fra brugerens perspektiv og arbejder med at implementere sin viden i danske virksomheders praksis.

Han mener, at der godt kan være en tendens til, at man tænker lidt for simpelt i, hvordan sikkerhed spiller ind i brugernes arbejdsgange.

"Man ser brugerne som noget, der skal fikses. Det er for simpelt at tænke på den måde. I stedet bør man se på, hvad det er for nogle krav, som bliver stillet til medarbejderne. Det kan godt være, at brugerne også skal lære noget om sikkerhed. Men der kan omvendt også være andre ting, som man kan skrue på for at få bedre sikkerhed," forklarer han.

Et eksempel er passwords, hvor det er kutymen, at man skal skifte passwords hver tredje måned. Men her viser forskningen, at det i den sidste ende faktisk giver dårligere passwords, fordi du hele tiden skal have – og ikke mindst huske – et langt, komplekst password.

“Det betyder, at folk i stedet finder et system til at gøre det nemt. Det kan være et tal i slutningen af passwordet, hvor de bare tæller én op hver gang. Det betyder, at det er ret trivielt og hurtigt at gætte det næste password, hvis man skulle få fat i det gamle,” forklarer han.

Folk har grænse for sikkerhedskrav

For mange it-sikkerhedskrav kan have negativ effekt, forklarer han. Det bliver også bekræftet af et engelsk studie, hvor man fandt ud af, at alle folk har en grænse for, hvornår de synes, at der er for mange sikkerhedskrav. Og går man over den grænse, så falder sikkerheden rigtig hurtigt. Kurven flader ikke ud, men man får faktisk en dårligere sikkerhed, hvis man overimplementerer sikkerhedskrav.

"I den sidste ende betyder det, at man kan opnå en højere sikkerhed ved at stille færre krav. Det kan godt være, at det på papiret ikke virker så sikkert. Men i praksis kan det vise sig at være sikrere," forklarer han.

Omvendt kan det være en god idé at få ryddet op i de ting, som fylder i medarbejdernes bevidsthed, og som måske ikke skaber noget reel sikkerhed.

“Det vil både blive nemmere for medarbejderne, og du vil få en bedre, reel sikkerhed, hvis man kan få identificeret nogle af de ting, som gør folk trætte af sikkerhed, og som ikke giver nogen reel værdi. Man vil bebyrde folk mindre og stadig få en høj sikkerhed.”

Se på, hvad der giver reel sikkerhed

Helt lavpraktisk så kan man starte med at tage fat i de her klassiske it-sikkerhedsregler og gå dem igennem punkt for punkt. Det kunne være clean desk policy og ændring af password hver tredje måned. Giver det nogen reel sikkerhed? Eller er det bare noget fyld, som man har fra en historisk kontekst.

"Clean desk kan være vigtig i nogle sammenhænge. Men hvis man opdager, at folk i organisationen ikke overholder reglerne, og at det faktisk ikke giver nogen problemer, så skal man måske bare hive det ud af politikken."

“Der er tendens til, i hvert fald i nogle organisationer, som måske ikke er så modne på det her område, at sikkerhed til medarbejderne bliver en form for énvejskommunikation. Man ruller nye tiltag ud uden at se på, hvilken effekt det har på medarbejdernes hverdag. Den information om, hvordan det passer ind, får man ikke med. Det betyder, at man i den sidste ende får dårligere sikkerhed,” forklarer han.

Det er især vigtigt at huske, at medarbejderne bryder ikke sikkerhedspolitikken, fordi de er ligeglade. De gør det, fordi de er sat i verden for at løse nogle arbejdsopgaver.

"Det er vigtig at få en idé om, hvordan medarbejderne oplever sikkerhedskravene i deres hverdag – og ikke mindst, hvor ser de problemerne henne. Som it-ansvarlig er det vigtigt at komme ud og snakke med medarbejderne og forstå deres virkelighed. Hvorfor bryder de politikken? Er det fordi, at de mangler et værktøj?"

Samtidig er det vigtigt at få ledelsens opbakning til de forskellige tiltag. Man kan have nok så mange gode hensigter, men hvis du ikke får ledelsen med om bord, så bliver det svært, lyder rådene fra Mads Schaarup Andersen.

Hvis du er i tvivl om, hvordan jeres it-sikkerhedskrav passer ind i jeres medarbejderes arbejdsgange, og kan du nikke genkendende til pointerne i det ovenstående og podcasten, så tag fat i Mads. Han er vores absolutte ekspert til at rådgive om, hvordan I kommer i gang med at få bedre it-sikkerhed og medarbejdere, der er venligere stemt over for it-sikkerhed.

Hør hele podcasten her.

Nøgleord

Billeder

Information om Alexandra Instituttet

Alexandra Instituttet
Alexandra Instituttet
Åbogade 34 · Njalsgade 76, 3. sal
8200 Aarhus N · 2300 København S

+45 70 27 70 12https://alexandra.dk

100 eksperter under ét tag 

Alexandra Instituttet hjælper offentlige og private virksomheder med at anvende den nyeste it-forskning og -teknologi. Vores udgangspunkt er samfundsmæssige problemstillinger og behov for at omsætte den nyeste forskning til innovative løsninger. 

Hos os finder du stærke kompetencer inden for blandt andet computer graphics, kunstig intelligens, internet of things, big data, it-sikkerhed, interaktionsdesign og smarte produkter. 

Vi arbejder i et tværfagligt miljø og er et hold af højtkvalificerede specialister, der hurtigt kan forstå din organisations og dine brugeres problemstillinger.

 
 

Følg pressemeddelelser fra Alexandra Instituttet

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra Alexandra Instituttet

En fremtid med kunstig intelligens, vi kan have tillid til26.2.2020 09:32:17 CETPresseinvitation

Der er store potentialer i at implementere kunstig intelligens i såvel offentlige som private organisationer. Men der synes at være en barriere, når vi skal gå fra gode intentioner til at realisere de nye muligheder – særligt når de kommer til at balancere potentiale, etik, tillid og gennemsigtighed i løsningerne. På en konference den 31. marts 2020 fra kl. 12-17 sætter Alexandra Instituttet, ATV, AAU’s Center ”AI for the People” og InfinIT fokus på forklarlig kunstig intelligens (XAI) i praksis, og hvordan man griber mulighederne.

I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.

Besøg vores nyhedsrum