Vi hører ofte, at medarbejderne er den største trussel mod virksomhedernes it-sikkerhed.
Men det er en fejl at se det på denne måde, da det lægger fokus på medarbejderen, som et problem, der skal fixes.
Faktisk er det ofte hos ledelsen den er gal, fordi de simpelthen ikke prioriterer og sætter ressourcer nok af til at arbejde med it-sikkerhed, herunder i, hvordan it-sikkerheden passer ind i medarbejdernes hverdag. Der bliver ofte stillet for urimelige krav. Konsekvensen er, at medarbejderne ikke lever op til it-sikkerheden og derfor vælger at omgå sikkerhedspolitikken for at kunne udføre deres arbejde.
Problemet er, at man ikke tager højde for at sikkerhed tager tid og går fra medarbejdernes primære arbejdsopgaver. Man glemmer at tage den menneskelige faktor seriøst. Medarbejdere gør det, der virker for dem. De fleste bryder ikke sikkerhedsprocedurerne, fordi de er ligeglade. De gør det, fordi sikkerhedspolitikken står i vejen for at de kan udføre deres arbejde tilfredsstillende.
Tænk på en sygeplejeske, der skal betjene mange forskellige terminaler i løbet af en dag. Det bliver til mange minutter hver dag, hvis han skal logge ind og ud med to-faktor autentifikation hver gang. Det går ud over kerneydelsen, og derfor vil mange vægte arbejdet med at tage sig af patienterne højere end at overholde sikkerhedspolitikken.
Et andet eksempel er, hvis man har en politik, der siger, at medarbejderne ikke må bruge Dropbox. Men hvis det samtidig er den eneste måde man deler data med samarbejdspartnere, så stiller man medarbejderne i et dilemma. Skal man overholde politikken eller potentielt miste en samarbejdspartner? Har man omvendt en politik for, hvordan man håndterer afvigelser fra sikkerhedspolitikken, så kan det være med til at minimere risikoen.
Det ser rigtig godt ud på papiret at have en striks sikkerhedspolitik, men det kan også have nogle uheldige konsekvenser. Det kan bl.a. føre til skygge-it, altså anvendelse af IT-systemer og værktøjer, der ikke er sanktioneret af virksomheden. Det giver dårligere sikkerhed, da man ikke er opmærksomhed på disse. Stiller man omvendt mere lempelige og realistiske krav, er der større chance for at medarbejderne overholder dem. Dermed får man en bedre sikkerhed i den sidste ende til trods for på papiret en mindre striks sikkerhedspolitik.
Det handler derfor ikke kun om, at medarbejderne skal overholde bestemte procedurer. Man skal i langt højere grad se på, hvordan man inddrager medarbejderne og tænker deres arbejdsopgaver ind. Generelt bør basal menneskelig opførsel fylde meget mere i den måde, man tænker it-sikkerhed i organisationer og virksomheder.
Det skal komme nedefra og man skal forstå, hvad det er for en virkelighed, som medarbejderne står i. Man skal inddrage dem og forstå, hvad det er for nogle udfordringer, de står med i forhold til gældende sikkerhedsprocedure, når de udfører deres arbejde. Det med at blive ved med at fortælle dem, at de skal gøre noget, som forhindrer dem i deres arbejde, er ikke vejen frem.
Man får først en god it-sikkerhed, når man tænker det menneskelige aspekt ind og tager det seriøst.