Jeg vil påstå at majoriteten av norske bedrifter ikke har nevnt IT-sikkerhet med ett eneste ord i sine årsberetninger, skriver Karianne Myrvold. (Bilde: Colourbox/Privat)

«IT-sjefen er der for å hjelpe både deg og bedriften»

KRONIKK: Derfor har vi IT-reglene vi har, skriver Karianne Myrvold i Trend Micro.

  • Meninger
  • Av Karianne Myrvold, markedssjef i Trend Micro

Er du en av de som ignorerer instrukser fra bedriftens it-avdeling? Jobber du kanskje i en bedrift hvor sikkerhetsregler ikke eksisterer? Har dere regler, men som ikke er kommunisert i det hele tatt?

Eller jobber det kanskje bare personer som skal være vanskelige i IT-avdelingen; sånne som setter opp for mange regler basert på forbud, som gjør at du ser etter egne, enklere løsninger og snarveier?

Hvem har ansvaret?

Det er styrets og ledelsens ansvar å ivareta bedriftens sikkerhet, i tillegg til å skape en kultur hvor sikkerheten blir tatt alvorlig av de ansatte.

En undersøkelse fra Næringslivets Sikkerhetsorganisasjon viser imidlertid at kun 4 av 10 bedrifter gir opplæring i bedriftens it-sikkerhetsregler, og kun 2 av 10 kjører oppdateringer underveis i arbeidsforholdet.

Dette er tall hentet fra bedrifter som allerede har implementert it-sikkerhetsregler. Jeg vil imidlertid påstå at majoriteten av norske bedrifter ikke har nevnt it-sikkerhet med ett eneste ord i sine årsberetninger.

Spør du et styremedlem i en gjennomsnittlig norsk bedrift hva vedkommende legger i begrepet ”Helse, miljø og sikkerhet (HMS)” og i særdeleshet S-en, vil jeg tippe at svaret omhandler fysisk sikring av eiendomsmasse. Burde det ikke snart komme et krav fra myndighetene om at denne også burde omfatte IT-sikkerhet?

Nasjonal Sikkerhetsmyndighet (NSM) håndterte et rekordantall dataangrep i 2014. I Risiko 2015, som er NSMs årlige rapport, varsler de om ytterligere økt risiko for spionasje, sabotasje, terror og andre alvorlige handlinger. Nå bør snart varsellampene begynne å blinke hos flere bedrifter.

- If your security policy is not enforceable, you don’t have a security policy – you have a wish list. Rik Ferguson, Dirctor of Security Research & Communication, Trend Micro.

Anders Brenna: Overvåkning er ikke løsningen på problemet. Overvåkning er problemet

Gir du blaffen?

Ifølge en artikkel publisert i Dagens Næringsliv tidligere i år,  slumser ansatte med passord og bryter bevisst bedriftens it-sikkerhetregler.

Man snakker altså om økende antall nordmenn som motarbeider it-avdelingen. Det dreier seg ofte om frustrerte brukere som ser etter mer brukervennlige løsninger og følgelig tar snarveier utenom regelverket.

Dette er et kjent bedriftsfenomen i dag og mange ansatte tenker nok ikke engang over at de bryter reglene.

Ifølge sikkerhetsekspert Per Thorsheim, kan man dele ansatte inn i tre ulike kategorier:

  • De som følger og forstår rutinene.
  • De som ikke kjenner til rutinene.
  • De som aktivt motarbeider de.

- Det er stadig flere i den nifseste gruppen, nemlig de som hele tiden prøver å gjøre it-avdelingen til skam ved å ikke følge reglene. Skal man redusere størrelsen på denne gruppen, må man legge til rette, ikke forby. Per Torsheim, Sikkerhetsrådgiver i Pragma Sikkerhet AS

Til syvende og sist handler det altså om bevisstgjøring, kommunikasjon, opplæring & tilrettelegging.

Les også: Ny skytjeneste avdekker skadevare på «alle» mobile enheter

Fra instrukser til hvorfor

- Directions are instructions given to explain how. Direction is a vision offered to explain why. Simon Sinek, owner of SinekPartners.

Når sikkerhetsreglene i bedriften er etablert, kan det være en idé å la it-avdelingen være mer involvert i kommunikasjonen av ”hvorfor” og ikke kun være de vanskelige regelrytterne som ” alltid” skal legge begrensninger og innføre strenge krav.

Hvorfor har man de reglene og rutinene man har? Hvorfor bør ikke de ansatte låne bort sine enheter til andre? Hvorfor bør de ikke sende ukryptert e-post? Hvorfor bør de ikke klikke på alle linker i sosiale medier – selv om de er delt av venner?

Mon tro hvor mange nordmenn det er som venter i spenning på om de er den heldige vinneren av en BMWi8 eller en rå Range Rover ”bare” ved å dele noe privat informasjon via Facebook.

Ett lag er som kjent aldri sterkere enn sitt svakeste ledd og da bør man bruke tid på opplæring av ansatte. Å slippe uvedkommende inn i nettverket er vel like alvorlig som å slippe de inn ved å glemme å låse døren?

Mange bedrifter kvier seg muligens for å gå til det skrittet å gi ansatte sparken om de bryter sikkerhetsreglene. Kanskje en e-post til samtlige ansatte med ”Månedens Dave” kan være en fin interim-løsning inntil de skjønner alvoret?

 

Tenk på at IT-sjefen er en god venn og ikke en uvenn. IT-sjefen er der for å hjelpe både deg og bedriften.