I dag hører man meget om konsekvenserne af hacking og dårlig it-sikkerhedspraksis. Det er også vigtigt for ansatte i en virksomhed at vide, hvad der potentielt kan ske, hvis de ikke følger ordentlige sikkerhedsprocedurer. Men det er langt fra nok kun at fortælle sine medarbejdere om de negative konsekvenser. Noget af det vigtigste, når man skal skabe en god cybersikkerhedskultur i sin virksomhed, er at skabe et miljø hvor ens medarbejdere får lyst til at tilegne sig viden om it-sikkerhed, og hvor det naturligt bliver integreret i deres hverdag.
Man skal derfor have en menneskecentreret tilgang, der giver plads til spørgsmål og belønner medarbejdere for deres arbejde og ikke straffer dem for at begå fejl. Det virker ikke, når man som virksomhed kun fokuserer på de “skræmmende” sider af it-sikkerhed og bruger dem til at få sine medarbejdere til at ændre deres sikkerhedspraksis.
En stærk cybersikkerhedskultur omfatter, at hver enkelt medarbejder ikke kun er opmærksom på politikker og procedurer, men også forstår it-sikkerhed og den rolle, de spiller i den. Det involverer også medarbejdernes holdning til it-sikkerhed, og hvordan den påvirker deres handlinger. Hvis deres holdning til it-sikkerhed er præget af frygt og usikkerhed, er de mindre tilbøjelige til at tage en aktiv rolle.
Skræmmetaktikker skaber en kultur af usikkerhed
Frygt-baserede taktikker vil kun skabe usikkerhed blandt dine medarbejdere og påvirke deres produktivitet på længere sigt. Usikkerhed vil føre til, at de ofte gætter sig frem og vil være mere tilbøjelige til at tage en forkert beslutning.
Men når medarbejderne føler sig sikre, fordi de bliver støttet og opmuntret, vil de gerne deltage aktivt i at forbedre og opretholde it-sikkerheden.
Fjern forhindringer ved at komme med løsninger
Hvis man i en virksomhed kun fokuserer på, hvad der ikke skal gøres, og hvad der sker, hvis man begår en fejl, vil det ikke lede til en optimal it-sikkerhed. For hvordan skal dine medarbejdere vide, hvordan de undgår at begå fejl, hvis du ikke tilbyder dem løsninger?
Når man f.eks. vil indføre en god adgangskode-hygiejne, skal medarbejderne selvfølgelig forstå, hvorfor det er vigtigt, men de skal også vide, hvad de i de praksis skal gøre. Her i Moxso har vi en video-serie om gode tips og tricks, der bl.a. forklarer, hvordan man bruger en password manager og multi-faktor godkendelse.
Man skal give medarbejderne løsninger, så de kan lykkes med at skabe en god it-sikkerhed og føle sig sikre, når de bruger software-programmer, modtager e-mails eller håndterer virksomhedsdata. At stille ressourcer og løsninger til rådighed øger tilliden blandt medarbejderne.
Din it-afdeling skal være tilgængelig
Endnu et problem med frygt-baserede taktikker er mangel på kommunikation og gennemsigtighed på begge sider. Ofte er der to reaktioner på den slags taktik. Enten fremkalder det frygt og usikkerhed hos medarbejderne eller også skaber det skeptikere, der mener, at truslerne bliver overdrevet.
Begge reaktioner får medarbejderne til at føle, at deres arbejdsgiver eller sikkerhedsteam ikke stoler på, at de gør det rigtige, fordi der bruges så meget tid på at tale om konsekvenser. Denne mangel på tillid kan betyde, at medarbejderne ikke vil kommunikere, når der er potentielle sikkerhedsproblemer.
Kontinuerlig træning er den rette vej frem
Hvis awareness-træning ikke er en fast del af din cybersikkerhedskultur, kan en pludselig indføring af awareness-træning måske medføre, at medarbejderne tror, at der er problemer i virksomheden eller at de har gjort noget forkert. Træningen kan blive set som en straf eller et krav – ikke noget sjovt, spændende eller positivt.
Derfor er kontinuerlig awareness-træning en yderst vigtig del af en positiv tilgang til it-sikkerhed. Det viser interesse for medarbejderudvikling og hjælper dem med at forstå it-sikkerhed. Dette betyder ikke, at du ikke bør tilbyde træning som svar på en fejl eller hændelse, men det betyder, at medarbejderne vil føle sig mindre udsat, når disse ting sker, fordi træningen allerede sker regelmæssigt, uanset omstændighederne.
Vores cybersikkerhedstræning i Moxso består netop af kontinuerlige phishing-simulationer og spændende træningsvideoer og quizzer, som medarbejdere kan tilgå, når de har lyst. Det skaber et naturligt højt medarbejderengagement. Derudover motiverer vores cybersikkerhedstræning medarbejdere ved at give dem point for deres gode arbejde og engagement.
At straffe fejl vs. at rose kommunikation
Ofte opstår fejl, fordi en medarbejder var dårligt forberedt til at håndtere en specifik situation. Det er blevet beskrevet, at man i en virksomhed kan forsøge at forhindre hændelser ved at stille ressourcer og løsninger til rådighed for medarbejderne, men hvis der sker fejl, så brug det som en lærerig oplevelse for alle medarbejdere. Det kræver ofte meget mod at erkende fejl og kommunikere dem til andre.
At rose folk, der kommunikerer ordentligt, er en vigtig del af en god cybersikkerhedskultur. Medarbejdere vil være langt mere tilbøjelige til at stille spørgsmål eller indrømme fejl, hvis de ved, at de ikke bare bliver straffet for det. En hurtig rapportering fører til en hurtig udredning af problemet.
Ved at have en menneskecentreret tilgang til it-sikkerhed kan du motivere dine medarbejdere til at blive investeret i at opretholde en stærk it-sikkerhed på lang sigt.
I organisationer og virksomheder, der positivt motiverer deres medarbejdere til at blive gode “it-bodyguards”, er der meget større sandsynlighed for, at awareness-træningen og den generelle cybersikkerhedskultur fungerer.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer
