Arbejd med medarbejdernes cybervaner


Et gennemgående tema inden for it-sikkerheden er medarbejdernes manglende forståelse for truslerne og til tider uhensigtsmæssige handlinger set ud fra et sikkerhedsperspektiv. For at korrigere for dette, vælger organisationer at implementere en lang række it-sikkerhedspolitikker og procedurer, som skal fortælle medarbejderne præcis hvilke handlinger de bør/skal foretage sig for at beskytte organisationen.

Men de lange og komplicerede politikker og procedurer har som oftest minimal gennemslagskraft bland medarbejderne, og hvorfor er dette tilfældet når nu sikkerhedsafdelingen har brugt flere uger på at udarbejde det helt rigtige regelsæt?

Hvorfor virker vores politikker og procedurer ikke?
Og det er netop her problemet opstår, nemlig at sikkerhedsafdelingen har brugt flere uger på at udarbejde retningslinjerne til medarbejderne, som ikke har flere uger til at nærstudere politikker og procedurer når dagligdagen rammer.

Politikker og procedurer er ofte ikke tilpasset medarbejderne, som en del af deres arbejdsopgaver, men lever et selvstændigt liv af ekstra besværligheder for medarbejderne som f.eks. persondatabeskyttelse, verdensmålene, anti-bribery osv.

Medarbejderne drukner derfor ofte i information og krav, som overrumpler medarbejderne, hvorfor den naturlige reaktion er at ignorere kravene i videst muligt omfang.


Hvad er så problemet?
Problemet er basalt set, at vi designer politikker og procedurer til det som i den kendte bog ”Thinking fast and slow” (link) betegner som type 2 systemet, som er den efterrationaliserende del af mennesket, hvorimod medarbejderne arbejdsopgaver ofte styres af type 1, som er de autonome handlinger. Derfor er det på tide, at vi arbejder med at ændre konkrete vaner hos medarbejderne, for at øge gennemslagskraften i organisationen – så vores politikker og procedurer virker! Selvfølgelig ud fra en risikobaseret og pareto tilgang.

Hvordan fungerer en vane?
En vane er en ureflekteret gentagelse af adfærd eller en automatisk reaktion, som kan strække sig fra alt mellem at gribe en genstand der falder, til at oversætte tekst fra direkte fra dansk til engelsk. Basalt set består en vane af følgende fire elementer, i denne rækkefølge:

 

En person modtager et SIGNAL fra omverden om, at der skal foretages en bestemt HANDLING, hvorefter der skabes et BEHOV, som leder til en HANDLING og derefter opnås en BELØNNING.

#1

Manglende indrapportering af phishingmails er et kæmpe problem, som gode cyber vaner kunne afhjælpe. Hos IFCR har vi arbejdet med phishingknappen som løbende sender SIGNAL i mailboksen til medarbejderen om, hvor nemt det er at indrapportere en phishingmail, og der gives en positiv feedback BELØNNING til medarbejderen automatisk.

 

#2

Manglende efterlevelse af regelsættet er også et problem, hvor den ubehagelige opgave med sanktionering kan være en nødvendighed eller positiv feedback af efterlevelse. Påpegning af dårlig opførsel kan være med til at skabe en vane om at følge reglerne, da der gives BELØNNING ved at følge reglerne og straf ved at bryde dem, hvis det gøres på en ordentlig måde.

 

Så i 2020 bør organisationer arbejde med at få kortlagt og ændret de cyber vaner, som er den største risiko for organisationen og påbegynde arbejdet med de fire elementer i cyber vaner.