Gode og hjælpsomme medarbejdere kan være farlige

Gode og hjælpsomme medarbejdere kan være farlige

- i hvert fald hvis de ingen retningslinjer har.

Nogen siger, at der ikke findes dumme brugere - kun dumme it-ansvarlige.

Hos JCD har vi selvfølgelig ingen dumme kunder, men der kan være noget om snakken. Tænker du ikke medarbejderne ind i it-sikkerheden, overser du et vigtigt aspekt.


For rigtig mange virksomheder handler it-sikkerhed om at beskytte infrastrukturen, udstyret og software. Det er der også rigtig god mening i, men tendensen går desværre mod, at medarbejderne bliver overset i forhold til it-sikkerheden … og det kan blive dyrt.

 

Jeg hjælper, hvor jeg kan
Sådan siger dine medarbejdere måske. De fleste mennesker er jo hjælpsomme over for hinanden, men på den måde kan dine medarbejdere faktisk gå hen og blive det svage led i firmaets sikkerhed.

Mange it-kriminelle ved nemlig godt, at alt det tekniske er sikret efter alle kunstens regler, og at medarbejderne er den eneste vej ind … og så hjælper it-afdelingens hårde arbejde ingenting.

Når hackere bruger menneskelige relationer og adfærdsmæssige teknikker som indgang, kaldes det socioteknisk angreb.

 

Adfærdsmæssige teknikker lukker hackere ind
Sociotekniske angreb kan for eksempel være, når en hacker kontakter en medarbejder og beder ham/hende om at gøre noget, der umiddelbart virker harmløst.
Forestil dig, at en medarbejder modtager et opkald fra en person, som udgiver sig for at være firmaets internetudbyder eller en kollega fra it-afdelingen. På grund af vores hjælpsomme natur, udleverer vi gerne oplysninger for at hjælpe en kollega med et overhængende problem - for eksempel med adgangskoder eller oplysninger om netværksstrukturen. Der skal ikke meget til, før der er åbent ind til systemerne.

Når hackerne bruger adfærdsmæssige teknikker, som i ovenstående eksempel, kan det ende med at koste virksomheden rigtig mange penge.

 

Giv dine medarbejdere de bedste værktøjer
Hvad kan vi så gøre for at undgå sociotekniske angreb? Giv medarbejderne retningslinjer og redskaber. På den måde kan du skabe en kultur, der indebærer, at sikkerhed er gennemgribende i alle virksomhedens processer og beslutninger. Medarbejderne skal vide, hvad de må oplyse via telefonen, og hvem de må dele oplysninger med.

It-sikkerhed skal kort sagt tænkes ind i det daglige arbejde.
Her får du et par gode eksempler på spørgsmål, dine medarbejdere bør stille sig selv, før de udleverer følsomme eller forretningsmæssige oplysninger:

  • Bør jeg have denne samtale?
  • Hvis oplysningen var på papir, ville jeg så makulere papiret?
  • Ville jeg dele disse oplysninger på sociale medier synligt for alle?
  • Hvor godt kender jeg personen i den anden ende af røret/emailen?
  • Har jeg tillid til afsenderen af denne mail?
  • Er det sikkert at trykke på linket eller filen i mailen?
  • Er jeg i gang med at videregive oplysninger, der kan være farlige i de forkerte hænder?

 

Kontroller for dårlige vaner
Virksomheder, der behandler sikkerhed som sidste led i en sikkerhedsstrategi, sætter ikke alene virksomhedens stabilitet på spil, men også det gode ry. Det kan nemlig ikke alene skade din virksomheds sikkerhed og troværdighed, men også sætte kundernes oplysninger i fare.

Det kan også være en god ide at tjekke medarbejdernes uvaner (og dem har vi alle!).

Er du it-ansvarlig, så gå en runde i firmaet. Så vil du få øje på de synlige uvaner. Er der ulåste computere på tomme skriveborde, ligger fortrolige papirer frit fremme på bordene eller står døren åbent ind til det lokale, kun betroede medarbejdere har adgang til. Sådanne eksempler kan nemlig være tegn på, at der hersker en generel afslappet holdning til sikkerhed i virksomheden.

 

It-sikkerhedspolitik
Giv dine medarbejdere retningslinjer - måske endda i form af en håndbog om virksomhedens it-politik. På den måde sikrer du virksomheden, og giver samtidigt medarbejderne konkrete værktøjer.

En håndbog om it-politik kan for eksempel indeholde afsnit om, hvordan man behandler fortrolige oplysninger, lagring og backup af data, personregistrering, privat brug af firmaets udstyr, internet og sociale medier …og så videre.

En it-sikkerhedshåndbog bør udarbejdes af den it-ansvarlige i samarbejde med firmaets HR-ansvarlige.

 

Er du i tvivl om sikkerheden i din virksomhed,
eller har du bare brug for en snak om mulighederne?

Kontakt os på telefon 70 12 00 03

 

Måske er du også interesseret i at læse:

It-sikkerhed i din virksomhed
Læs mere
Gode råd til din it-sikkerhed
Læs mere
5 små tips til dine koder
Læs mere