Lader du kagerne stå fremme og friste dine folk?

Lader du kagerne stå fremme og friste dine folk?

Det kan være farligt at udsætte andre for store fristelser – selv dine mest betroede medarbejdere. Læs her, hvorfor det kan være en dårlig idé…

Efterhånden er det gået op for de fleste, at it-sikkerhed er en god idé. Men internt i firmaet kontrollerer I ikke hinanden overdrevet meget. Der er tradition for at have tillid til hinanden, overdreven kontrol vil jo bare give problemer med arbejdsglæden, og der er slet ikke brug for alt det kontrol. Hvad skal I med det.

I kan jo stole på hinanden.

Eller kan I?

Der er uhyggeligt mange eksempler på, at it-kriminalitet bliver et inside-job. Desværre: Svigt & bedrag fra egne medarbejdere er en reel trussel mod it-sikkerheden. Og din mest betroede medarbejder kan blive din største it-sikkerhedstrussel.

Spørg bare NETS/IBM – og hvis deres svar ikke overbeviser dig, får du her nogle flere eksempler, der kan få de små hår på armene til at rejse sig. Alt sammen fordi nogen lod kagen stå fremme og friste …

Gav flere fortrolige data videre til kriminelle
I 2010 blev en ansat i forsikringsselskabet Codan bortvist for at have fisket personfølsomme data ud af kundedatabasen og lækket dem til kriminelle. Ifølge Ekstra Bladet skulle oplysningerne bruges til økonomisk kriminalitet – forfalskede kreditkort og deslige. Ikke noget, der giver goodwill hos kunderne!

Forsmået medarbejder gik amok og slettede 80 GB data
I 2013 fortalte Version2 om en it-chef, der blev fyret og derefter lavede et it-mæssigt ‘falling down’-amokløb i virksomheden. Samme dag som fyringen nåede han at slette 80 GB data (og købe to dyre mobiltelefoner og et kursus på 16 dage til sig selv.) Han forsøgte også at opnå adgang til databaser, han var blevet lukket ude fra på fyringsdagen.

Bogholder sendte fortrolige data hjem til sig selv og slettede data fra virksomhedens arkiv
Den kvindelige bogholder var gift med firmaets gamle ejer. Da den gamle ejer på et tidspunkt kom i strid med de nye ejere, e-mailede hans kone, bogholderen, en mængde af firmaets fortrolige oplysninger om bl.a. økonomi og emballagedesign til sin egen hotmail-konto, lige som hun slettede en mængde data. Bagefter sagde hun, det var tilfældigt. Men det troede retten ikke på…

56 procent var et inside-job
Nåh, det er jo kun tre tilfælde, og ingen af dem er fra din virksomhed. Men hør lige her:

Ifølge en international undersøgelse lavet af PWC i 2014 havde 35 procent af de adspurgte virksomheder i Danmark været ude for it-kriminalitet – og i 56 procent af disse tilfælde var det et inside-job.

Står lagkagen fremme og ser lækker ud?
Stoler du stadig på dine medarbejdere? Forhåbentlig. Det er så trist med al den mistro. Men hvorfor udsætte folk for helt unødvendige fristelser, når det gælder ikke at svigte din tillid?

Du behøver måske ikke lade lagkagen stå fremme, så den frister alle til at stikke fingrene i flødeskummet. Og slikke på dem. Og stikke fingrene ned i flødeskummet engang til.

Led dem ikke i fristelse, og fri dig for det onde
Der er hjælp at få. Og her er nogle eksempler på, hvordan du kan sikre dig mod at friste dine medarbejdere mere end klogt er.

For det første: Kig på din bruger-, rolle- og rettigheds-styring. I mange virksomheder kan alle i virksomheden bruge alle funktioner i et program, når først de har adgang til det. Men det kan lede folk i fristelse, og det har du ikke lyst til.

Fri dig i stedet for det onde, og få styr på administrationen af brugerrettigheder – evt. ud fra hvilken rolle, medarbejderne har. Afdelingsledere må en ting, regnskabsmedarbejdere må noget andet, folk i salgsstyrken må noget tredje – og så videre. Så fjerner du fristelsen til at snuse rundt i oplysninger, folk alligevel ikke skal bruge i deres arbejde.

‘Hævn! Hævn!’ i skjul bag skærmen
Samtidig kan du gøre det enkelt at fjerne folks brugerrettigheder igen. I en fart. Til alle systemer. For det er en helt klassisk situation, at en mand eller kvinde bliver fyret, men opdager, at han eller hun stadig kan logge på et eller flere af systemerne – og så hærger og kopierer den fyrede, alt hvad der hærges og kopieres kan, mens vedkommende mumler ‘Hævn! Hævn!’ og fingrene danser hen over tastaturet i skjul bag skærmen.

Nu vi taler oplysninger, der kan slettes: Indfør systematisk daglig back-up og regelmæssig offline backup. Overvej samtidig at kryptere dokumenter, der indeholder fortrolige oplysninger. Fordi du kan.

Drop dead, dropbox
Alle (undtagen it-sikkerhedschefen) elsker dropbox. En løsning, der it-sikkerhedsmæssigt er cirka lige så sikker som de 28 millioner dollars, du venter på at få overført fra din afdøde grandfætter i Nigeria.

Du kunne derfor vælge at forbyde dropbox. Det vil enten systematisk blive ignoreret, eller dine medarbejdere vil være irriterede over at du (igen) forhindrer dem i at yde et effektivt stykke arbejde. Heldigvis findes der glimrende forretningsløsninger med samme funktionalitet som dropbox – men hvor dataene bliver opbevaret sikkert i virksomheden.

Alternativt kan du kryptere de dokumenter, der findes i dropbox. Igen: Fordi du kan.

Tillid er godt, kontrol er bedre
Nu er lagkagen låst inde, og kun udvalgte medarbejdere kender koden til køleskabet. Men hvad nu hvis selv den betroede medarbejder får en ubændig trang til kage, og det mindste barn derhjemme fylder rundt, og bageren har lukket?

Måske er det meget rart, at vide hvad der forsvinder ud af døren. En slags digital tyveri-alarm. Logfiler og overvågning af data, der forsvinder ud af virksomheden. Alarmklokker, der bimler og bamler, hvis uventede store mængder data forsvinder ud af døren.

Nu er du meget mere sikker.

Men …

De bagtaler dig i kafferummet
Du er også sikker på en helt anden ting, nemlig at dine medarbejdere hurtigt kan blive godt trætte af dig.

For det er helt sikkert, at hvis medarbejderne ikke forstår, hvad du har gang i, bliver de sure. Og uengagerede. Og vrisne. Og bagtaler dig i kafferummet, mens de hvisker om big brother. For hvad bliver det næste, skjult kamera?

Medarbejdere eller modarbejdere
For at din indsats for at højne it-sikkerheden ikke ses som unødig overvågning og skummel kontrol, ja ganske enkelt overgreb mod medarbejdernes integritet, er det helt nødvendigt, at dine medarbejdere ved præcis, hvad der foregår, og er med på vognen.

Dybest set er sikkerhed mere besværligt end at lade som ingenting og håbe på det bedste – også for medarbejderne. Og det kan føles krænkende for dem, at virksomheden ikke udviser ubetinget tillid til deres selvbeherskelse.

Derfor er det enormt vigtigt, at du har medarbejderne som medspillere, ikke som modspillere. Medarbejderne skal vide, hvad der er okay – og forstå, hvorfor sikkerheden er, som den er.

Men medarbejderne bliver kun medspillere, hvis du fortæller dem om risiciene. Deler dine bekymringer. Er åben om de løsninger, du vælger og hvorfor. Inddrager dem i arbejdet. Og ikke mindst involverer dem i at finde de rette løsninger. Så it-sikkerhed ikke føles, som noget, der bliver trukket ned over hovedet på dem, men noget, de selv er med til at udvikle.

For sikkerhed handler ikke kun om love, regler og fancy systemer – det handler lige så meget om kultur.

Tag et stykke kage, mens du tænker over det!

Bjarke Alling, september 2014.

Kunne du lide artiklen?