Tør du invitere en indbrudstyv ind i din virksomhed?

Mens jeg sidder og skriver denne tekst, og mens du sidder og læser den, sidder hackere trygt i cyberspace og scanner din og min virksomhed for at finde en vej ind.

De leder efter huller, som de selv kan udnytte i et angreb eller sælge til højestbydende på det mørke internet.

På en gennemsnitlig dag i denne måned har vores firewalls i GlobalConnect blokeret 20.000 ondsindede mails og afværget 1.700 forsøg på login i vores interne it-systemer. Det virker måske ekstremt, men det er virkeligheden for mange danske virksomheder.

Effektive sikkerhedssystemer og regelmæssige opdateringer er det grundlæggende fundament for at holde hackerne ude. Det svarer til at sætte en lås på hoveddøren. Men hvis døren er låst, vil tyven som bekendt altid lede efter et åbent vindue.

Medarbejderne er potentielle vinduer ind til din virksomhed.

I øjeblikket kommer 90 pct. af al malware ind via phishingmails. Dem skal medarbejderne kunne genkende, ligesom de skal håndtere adgangskoder, holde private og professionelle adgangskoder adskilt, være varsomme med at logge på offentlige netværk fra arbejdscomputeren og aldrig gå fra en tændt og sårbar computer.

 

Leder, it-sikkerheden er dit ansvar

Hvis medarbejderne lader vinduerne stå åbne, så at sige, er det ledelsens ansvar. It-afdelingen kan og skal ikke stå alene med ansvaret. Uanset hvor stærkt de løber, er det umuligt at gardere sig mod angreb, hvis hele virksomheden ikke bakker op.

Ledelsen skal opbygge en it-sikkerhedskultur, hvor medarbejderne ikke blot er klar over sikkerhedsprocedurerne, men at de rent faktisk forstår, hvorfor det er vigtigt. Vigtigt for dem, deres eget arbejde og for virksomhedens forretning.

Derfor skal ledelsen agere fyrtårne, både ved at efterleve reglerne og ved at tale om det ofte. Sæt it-sikkerhed som et fast punkt på møde-agendaen og behandl det med mening og perspektiv, ikke som et praktisk punkt af pligt. Vis medarbejderne, at det rent faktisk betyder meget for dig, for kunderne og forretningen.

It-sikkerhed skal hæves fra et punkt på en tjekliste til at være en integreret del af kulturen.

 

Vi husker det, vi føler

Hvis medarbejderne skal opnå en ægte forståelse for, hvorfor it-sikkerhed er helt afgørende, skal det gerne helt tæt på, så de kan mærke det på egen krop.

Vi havde for nylig besøg af en indbrudstyv i GlobalConnect, en slags mystery shopper. Han skulle efterprøve vores strikse regler om aldrig at holde døren åben for fremmede, om ikke at efterlade devices tændt uden opsyn og lade følsomme dokumenter ligge fremme.

Det tager kun et usb i en enkelt tændt pc, og så er du inde i mange systemer. Reglerne bliver efterlevet, men vi fik også sat spot på nogle knapper, vi skal skrue mere på. Tilsvarende øvelser laver vi med phishingmails.

Vigtigst af alt kom afsløringen af indbrudstyven som en overraskelse for medarbejderne. At der rent faktisk havde været en person med onde hensigter i bygningen. ”Kunne jeg have holdt døren for ham? Huskede jeg at slukke min pc, da jeg hentede kaffe i går eftermiddags?” Truslen kom ud af eLearnings-programmerne og helt tæt på.

 

Kultur sidder på rygraden

Meget få medarbejdere ville lade døre og vinduer til kontoret stå åbne og ulåste, hvis de forlod kontoret som de sidste, fordi de instinktivt ved, at det udsætter virksomheden for fare. Det er den samme intuitive kultur, vi skal have på rygraden, når det kommer til it-sikkerhed.

Derfor er det ikke tilstrækkeligt at uddanne og teste alle medarbejdere. Lederen skal lade it-sikkerhed komme fysisk tæt på, så alle kan se og mærke, hvad det helt konkret betyder for virksomheden, hvis den bliver angrebet.

Det kan være en hemmelig indbrudstyv eller en falsk phishingmail, og det kunne også være ægte simuleringer uden for eLearning-programmerne.

De fleste virksomheder holder regelmæssige brandøvelser, men de færreste har nok holdt en cyberangrebs-øvelse.

Jo oftere og jo stærkere vi har følt noget på egen krop, jo større indtryk gør det. Intern uddannelse i it-sikkerhed er vigtigt, men prøv at lægge det ekstra lag af overraskelse ovenpå, når medarbejderne mindst venter det.

Og endnu bedre, lad it-afdelingen eller en ekstern sikkerhedsrådgiver stå for øvelserne, så du som leder måske også bliver taget på sengen.