IT Sikkerhed? -Det handler om mennesker!

Når vi taler om IT sikkerhed og risici, bør efter min mening tale meget mere om mennesker, adfærd og sikkerhedskultur

Jeg har læst et sted at 95% af alle IT hændelser skyldes mennesker. Det har jeg gået og funderet en hel del over på det sidste og det var, mens jeg stod på stigen og spartlede glasvæv (som nogen har sat op i vrede engang i 80’erne) at jeg endeligt fik styr på tankerne.

Da jeg stod der, lyttede jeg nemlig til en temmelig nørdet podcast om adfærdsvidenskab, der diskuterede human risk. Podcasten bearbejdede det faktum, at human risks generelt kan deles op i to overordnede grupper: ”Der er de risici, der skyldes, at folk gør noget de ikke burde gøre” og så ”de risici, der skyldes, at folk ikke gør noget, de burde gøre”.

Jeg var nært faldet ned af stigen, da jeg indså, at det er jo fuldstændigt ligesådan med IT Sikkerhed.

Typisk skyldes en sikkerheds hændelse jo netop enten at nogen, gør noget de ikke skulle have gjort: Klikker på et link, downloader en fil eller sender noget, de ikke skulle have sendt. Eller også gør de ikke det, de skulle have gjort: patchet den server, opdateret det system eller krypteret den mail.
Og hvorfor er det så banebrydende, at jeg nært var drattet de 4 meter ned på trappen?

Jo fordi, stort set alle de konferencer, jeg har været på, sælgere jeg har talt med og medier om sikkerhed, taler IT og ”teknik med teknik på”: ”Vi skal sikre vores kode, sikre vores netværk, sikre vores systemer”. Du kan købe en dims, der løser det lige her….

Men når nu det hele starter med menneskers handlinger eller mangle på samme, hvorfor taler vi så ikke ret om det? 

Det skal meget mere på dagsordenen og derfor har vi lavet denne blog med alle vores “popcorn”.

Hvad tænker du?