Security Awareness er død – Længe leve info-sec kulturen

Ok. Det er måske lige hårdt nok sat op. At awareness skulle være død – og infosec kultur er arvetager.
Alle taler jo om awareness som en uomtvistelig del af governance og compliance. Så hvordan kan awareness blive taget ud af ligningen?
Det kan awareness heller ikke helt. Pointen er, at awareness ikke er meget i sin egen ret.

Hvis minimering af risici relateret til informationssikkerhed forudsætter, at medarbejderne i en virksomhed ændrer adfærd, opbygger nye og bedre vaner, og nærmest pr instinkt registrerer, når en potentiel informationsrisiko er under opsejling, så er awareness ganske enkelt ikke nok.
I hvert fald ikke i det omfang, at awareness alene opfattes som medarbejdernes øgede kendskab til informationssikkerhed opnået på baggrund af envejskommunikation.

Hvis ambitionen er adfærd, vaner og instinktive reaktioner, skal der arbejdes på kulturen. Det kommer jeg tilbage til, når jeg har lagt traditionel awareness i graven.

Det er ikke ualmindeligt, at virksomheder har ambitioner om at skabe forandringer, og at rationelle argumenter bliver taget i brug for at opnå dem.

‘Vi risikerer bøder, der kan knække firmaet, hvis vi overtræder persondataforordningen. Derfor skal vi håndtere data korrekt.’

‘Vores konkurrencefordel bliver kompromitteret, hvis vores konkurrenter får fat i vores intellektuelle ejendom. Derfor skal vi beskytte vores virksomhedsdata.’

Når de rationelle argumenter er kommunikeret, og man konstaterer, at det ikke har nogen effekt på medarbejdernes adfærd, bliver argumenterne gentaget. Med samme ringe effekt.

Rationelle argumenter giver mening som en del af forklaringen på, hvorfor der er behov for forandringer. Men de fører sjældent i sig selv til forandringer.

Traditionel awareness foldes også ofte ud som ‘træning’. Og den klassiske er e-learning. Det kan være en udmærket måde at give en grundlæggende introduktion til informationssikkerhed på. Og hvis det er kort, underholdende og involverende, er der gode chancer for at brugerne tager nogle væsentlige pointer med sig. Men isoleret betragtet øger de i bedste fald kendskabet og rykker kun i begrænset omfang på medarbejdernes vaner.

Og så er der awareness plakaten. Suk. Hvornår har du sidst set en plakat, der i sig selv fik dig til at ændre adfærd?
Kan du se plakatteksten for dig? ‘Informationssikkerhed starter hos dig!’

De fleste awareness plakater er blot pynt. En hilsen fra afdelingen for informationssikkerhed til ledelsen ‘Vi er skam i gang med at arbejde på bedre informationssikkerhed.’

Hvis plakatmediet skal give mening, skal det kædes sammen med konkrete adfærdsændringer. Hvilket er min ‘bro’ til pointen om adfærd, vaner, instinktive reaktioner og kultur.

En informationssikkerhedskultur kan spejles i trafiksikkerhedskultur. Meget af den hensigtsmæssige adfærd i trafikken er blevet til en sund trafikkultur. Det, at række ud efter sikkerhedsselen, er en indgroet vane. Det føles forkert, at køre afsted uden. Og vi har antennerne ude, når vi kører bil, fx hvis vi ser nogle mindre børn lege på fortorvet. Instinktivt ser vi en potentiel risiko for, at en af børnene løber ud foran bilen, så vi sætter farten ned.

En stærk informationssikkerhedskultur skal præges af tilsvarende hensigtsmæssig adfærd, gode vaner og instinktive reaktioner på potentielle risici. Og opbygningen af denne kultur afhænger dagligt tilbagevendende gentagne handlinger, som kan relateres til informationssikkerhed. At medarbejderen låser sin skærm, hver gang den forlades. At alle nye mails og dokumenter skal klassificeres med et klik. At MFA skal benyttes for at tilgå systemerne. At ID-kortet skal bæres på arbejdspladsen og anvendes for at få adgang til udvalgte områder og evt. til IT-systemer.

Ligesom brugen af sikkerhedsselen er blevet en god vane, og har bidraget til en stærkere trafiksikkerhedskultur, således skal daglige gentagelser af informationssikkerhedshandlinger føre til en stærkere info-sec kultur.

Dét kan awareness ikke klare alene.

Skriv en kommentar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *