Vi får ofta höra att medarbetarna är det största hotet mot företagets IT-säkerhet. Men det är fel sätt att se det på, eftersom det innebär att man lägger fokus på medarbetaren som ett problem som måste åtgärdas.
Det kan vara kontraproduktivt att ha en strikt säkerhetspolicy. Foto: Getty Images
Alexandra Instituttet er en privatejet non-profit virksomhed, der arbejder med anvendt forskning, udvikling og innovation inden for it-innovation med det formål at skabe vækst og velfærd i det danske samfund.
Kontakta och följ Alexandra Instituttet
Artikeln publiceras i samarbete med Alexandra Instituttet.
Faktiskt är det ofta hos ledningen felet ligger, på grund av att de helt enkelt inte prioriterar eller avsätter tillräckligt med resurser till arbetet med IT-säkerhet och hur IT-säkerheten ska passa in i medarbetarnas vardag. Ofta ställs orimliga krav.
Följden blir att medarbetarna inte kan leva upp till IT-säkerheten och därför väljer att kringgå säkerhetspolicyn för att kunna utföra sitt arbete.
Problemet är att man inte tar hänsyn till att säkerhet tar tid och inte är en del av medarbetarnas primära arbetsuppgifter.
Man glömmer att ta den mänskliga faktorn på allvar. Medarbetarna gör det som funkar för dem. De flesta bryter inte mot säkerhetsprocedurerna för att de struntar i dem. De gör det för att säkerhetspolicyn hindrar dem från att utföra sitt arbete på ett bra sätt.
Ett exempel är att man har en policy som säger att medarbetarna inte får använda Dropbox. Men om det samtidigt är det enda sättet man kan dela data med sina samarbetspartner på försätts medarbetarna i ett dilemma. Ska de följa policyn eller riskera att mista en samarbetspartner? Om man i stället har en policy kring hur man ska hantera avvikelser från säkerhetspolicyn kan det bidra till att minimera risken.
Läs mer: 5 regler som tryggar it-säkerheten
En strikt säkerhetspolicy ser väldigt bra ut på papper, men det kan även ge tråkiga konsekvenser. Det kan bland annat leda till skugg-IT, det vill säga användning av IT-system och IT-verktyg som företaget inte har godkänt.
Det ger sämre säkerhet eftersom man inte är uppmärksam på sådana. Om man i stället ställer mer lämpliga och realistiska krav är chansen större att medarbetarna efterlever dem.
Därmed får man i slutändan en bättre säkerhetsnivå trots – på papperet – mindre strikt säkerhetspolicy.
Det handlar därför inte bara om att medarbetarna ska följa fastställda procedurer. Man måste se till att involvera medarbetarna i mycket högre grad än så och ta med deras arbetsuppgifter i beräkningen.
I allmänhet bör grundläggande mänskligt beteende få mycket större utrymme i hur man tänker kring IT-säkerhet inom organisationer och företag.
Det ska komma nedifrån, och man måste ha förståelse för hur medarbetarnas verklighet ser ut. Man ska involvera dem och förstå vilka utmaningar de ställs inför när det gäller säkerhetsprocedurer i samband med att de ska utföra sitt arbete.
Att bara fortsätta tala om för dem att de måste göra saker som hindrar dem i deras arbete är inte rätt väg framåt.
God IT-säkerhet uppnår man först när man tar med den mänskliga aspekten i beräkningen och tar den på allvar.
Managed Services: bra tips till dig som överväger outsourcing av IT
Digitalisering utan modeord? Hämta en kostnadsfri rapport med 5 praktiska råd och 10 konkreta affärsfall: Infria din digitala potential
Få värdeskapande artiklar, verktyg och inspiration om hur du lyckas med digital transformation – direkt till din inkorg. Vi skickar ut nyhetsbrevet en gång i veckan.
Du kan alltid avanmäla dig om nyhetsbrevet inte motsvarar dina förväntningar. Ta del av vår personuppgiftspolicy
