Möller Insights – ”CIOer måste våga fråga HR-avdelningen om hjälp”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om hur utbildning minskar antalet säkerhetsincidenter.

CIOer måste våga fråga HR-avdelningen om hjälp
Att få användare att följa och förstå ett företags IT-policy är oftare lättare sagt än gjort. Det samma gäller att förklara vad som kan vara och kan bli en säkerhetsrisk. Men låt oss börja tala om IT-policy och hur olika de kan se ut. I början var en IT-policy ett styrningsdokument där vissa ordningsregler vid användning av kontorsdatorer etablerades. Det tog dock inte lång tid för många företag att lista ut att IT-policyn kan användas för att bortskriva allt ansvar för illegala aktiviteter som utförs på enheten, samtidigt som de fortfarande äger allt annat material.

Det här i sig är ju inget fel – jag tycker inte att en verksamhet ska bli bestraffad för att en anställd ägnar sig åt fildelning. Men den här förändringen är ett steg i att förstå varför få människor idag följer eller för den delen ens förstår vad IT-policyn innebär. Låt mig ta ett exempel för att förtydliga. Jag känner en person som arbetar för en väldigt stor amerikansk koncern där IT-policyn förnyas varje kvartal, är formulerad på juridisk engelska och är över 45 sidor lång. Precis som avtalet när du förnyar iTunes så förväntas du inte läsa dokumentet – utan bara skriva under.

Att frånskriva sig allt ansvar är självfallet lockande men vi måste för IT-säkerhetens skull lyfta blicken och försöka se en helhet. Om de anställda inte orkar, vill, eller kan förstå IT-policyn så kan vi knappast förvänta oss att den följs. Det kommer att ställa till problem för den enskilda anställda men även för hela verksamheten om säkerhetsluckor och liknande skapas omedvetet.

Som verksamhet så har man ju ett direkt intresse av att information inte mailas eller skickas ut via Dropbox. Det finns även en mängd personer som dagligen arbetar med känslig information och de måste förstå hur och framför allt varför vissa bestämmelser finns.

Så hur kan vi arbeta för att på ett bättre sätt utbilda anställda om IT-säkerhet?

• Ta hjälp av er HR-avdelning: Många större företag har en eller flera anställda på en HR-avdelning som kan hjälpa till att översätta en teknikers språk till något flera kan ta till sig. Här handlar det om att förenkla och förklara ett problem med ett språk som inte bara ingenjörer förstår.
  
• Inte ”one size fits all”: Olika avdelningar har ofta helt skilda arbetsuppgifter och står inför olika utmaningar.  Utbildningen bör vara anpassad till deras arbete och använd gärna specifika exempel som förkroppsligar just deras arbete. Det ökar förståelsen
  
• Interaktiv utbildning: Att försöka samla alla på ett företag, eller bara en avdelning till ett möte om IT-säkerhet kan ofta vara näst intill omöjligt. Att istället skapa en interaktiv utbildning som de anställda kan komma åt när det passar dem är mer framgångsrikt.
  
• Återkommande utbildning: Det är även viktigt att säkerhetsutbildning görs återkommande. Vi på Intel Security gör utbildning varje kvartal. Om man tycker att det är allt för ofta så bör man i alla fall genomgå utbildningen en gång i halvåret.
  

Om man sätter det här i system och på det sätter kontinuerligt har en säkerhetsdiskussion med de anställda så är jag övertygad om att misstagen blir färre. De flesta incidenterna handlar om den mänskliga faktorn och det enda sättet vi kan motverka det är att utbilda om utmaningarna.

Jag uppmanar IT-avdelningar och HR-avdelningar att i större utsträckning samarbete när det gäller IT-säkerhetsutbildning och utbildning kring IT-policy.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik