Hør it-sikkerhedsrådgivers bud på, hvorfor flere it-sikkerhedskrav ikke altid er det rigtige

Sådan lyder det fra Mads Schaarup Andersen fra Alexandra Instituttets Security Lab, der er blevet interviewet til podcasten Cyberpilot. Mads har en forskningsmæssig baggrund inden for sikkerhed og privacy set fra brugerens perspektiv og arbejder med at implementere sin viden i danske virksomheders praksis.

Han mener, at der godt kan være en tendens til, at man tænker lidt for simpelt i, hvordan sikkerhed spiller ind i brugernes arbejdsgange.

"Man ser brugerne som noget, der skal fikses. Det er for simpelt at tænke på den måde. I stedet bør man se på, hvad det er for nogle krav, som bliver stillet til medarbejderne. Det kan godt være, at brugerne også skal lære noget om sikkerhed. Men der kan omvendt også være andre ting, som man kan skrue på for at få bedre sikkerhed," forklarer han.

Et eksempel er passwords, hvor det er kutymen, at man skal skifte passwords hver tredje måned. Men her viser forskningen, at det i den sidste ende faktisk giver dårligere passwords, fordi du hele tiden skal have – og ikke mindst huske – et langt, komplekst password.

“Det betyder, at folk i stedet finder et system til at gøre det nemt. Det kan være et tal i slutningen af passwordet, hvor de bare tæller én op hver gang. Det betyder, at det er ret trivielt og hurtigt at gætte det næste password, hvis man skulle få fat i det gamle,” forklarer han.

Folk har grænse for sikkerhedskrav

For mange it-sikkerhedskrav kan have negativ effekt, forklarer han. Det bliver også bekræftet af et engelsk studie, hvor man fandt ud af, at alle folk har en grænse for, hvornår de synes, at der er for mange sikkerhedskrav. Og går man over den grænse, så falder sikkerheden rigtig hurtigt. Kurven flader ikke ud, men man får faktisk en dårligere sikkerhed, hvis man overimplementerer sikkerhedskrav.

"I den sidste ende betyder det, at man kan opnå en højere sikkerhed ved at stille færre krav. Det kan godt være, at det på papiret ikke virker så sikkert. Men i praksis kan det vise sig at være sikrere," forklarer han.

Omvendt kan det være en god idé at få ryddet op i de ting, som fylder i medarbejdernes bevidsthed, og som måske ikke skaber noget reel sikkerhed.

“Det vil både blive nemmere for medarbejderne, og du vil få en bedre, reel sikkerhed, hvis man kan få identificeret nogle af de ting, som gør folk trætte af sikkerhed, og som ikke giver nogen reel værdi. Man vil bebyrde folk mindre og stadig få en høj sikkerhed.”

Se på, hvad der giver reel sikkerhed

Helt lavpraktisk så kan man starte med at tage fat i de her klassiske it-sikkerhedsregler og gå dem igennem punkt for punkt. Det kunne være clean desk policy og ændring af password hver tredje måned. Giver det nogen reel sikkerhed? Eller er det bare noget fyld, som man har fra en historisk kontekst.

"Clean desk kan være vigtig i nogle sammenhænge. Men hvis man opdager, at folk i organisationen ikke overholder reglerne, og at det faktisk ikke giver nogen problemer, så skal man måske bare hive det ud af politikken."

“Der er tendens til, i hvert fald i nogle organisationer, som måske ikke er så modne på det her område, at sikkerhed til medarbejderne bliver en form for énvejskommunikation. Man ruller nye tiltag ud uden at se på, hvilken effekt det har på medarbejdernes hverdag. Den information om, hvordan det passer ind, får man ikke med. Det betyder, at man i den sidste ende får dårligere sikkerhed,” forklarer han.

Det er især vigtigt at huske, at medarbejderne bryder ikke sikkerhedspolitikken, fordi de er ligeglade. De gør det, fordi de er sat i verden for at løse nogle arbejdsopgaver.

"Det er vigtig at få en idé om, hvordan medarbejderne oplever sikkerhedskravene i deres hverdag – og ikke mindst, hvor ser de problemerne henne. Som it-ansvarlig er det vigtigt at komme ud og snakke med medarbejderne og forstå deres virkelighed. Hvorfor bryder de politikken? Er det fordi, at de mangler et værktøj?"

Samtidig er det vigtigt at få ledelsens opbakning til de forskellige tiltag. Man kan have nok så mange gode hensigter, men hvis du ikke får ledelsen med om bord, så bliver det svært, lyder rådene fra Mads Schaarup Andersen.

Hvis du er i tvivl om, hvordan jeres it-sikkerhedskrav passer ind i jeres medarbejderes arbejdsgange, og kan du nikke genkendende til pointerne i det ovenstående og podcasten, så tag fat i Mads. Han er vores absolutte ekspert til at rådgive om, hvordan I kommer i gang med at få bedre it-sikkerhed og medarbejdere, der er venligere stemt over for it-sikkerhed.

Hør hele podcasten her.