Datasikkerhet kjedelig? Jepp. Skal du få med deg medarbeiderne som lag på et effektivt forsvarsspill, må du spille på deres banehalvdel.
Som leder eller bare god kollega har du sikkert forsøkt å fortelle medarbeiderne dine hvor viktig data- eller informasjonssikkerhet er: Bedriften kan tape enorme summer, måneders arbeid kan være tapt. Men klarer du å tenne kamplysten?
Som en slags spillende trener, konsulent innen informasjonssikkerhet, kjenner jeg problemet. Folk viser til nød høflig interesse.
Samboeren min lykkes bedre:
Hun er sykepleier og kommer hjem med fengslende historier fra jobb. Hun brenner for yrket, forteller med entusiasme - og jeg lar meg begeistre. Min arbeidsdag vekker ikke samme begeistring. Vel, informasjonssikkerhet kan absolutt være kjedelig, men for henne handler det faktisk om pasientsikkerhet: Systemene kan svikte, pasientene rammes.
Skjønner hun det? Absolutt.
Engasjerer hun seg? Slett ikke.
Hun vet det er viktig, men jeg spiller ikke på hennes banehalvdel. Tilsvarende er det for IT-konsulenter, entreprenører, butikkansatte – eller for Stortinget, norsk sokkel eller andre systemer. De vet egentlig at om noen lykkes med et angrep, betyr det plunder, forsinkelser og store kostnader. Og hver eneste en kan være hullet i forsvarsmuren.
- Ifølge en anerkjent sikkerhetsrapport skyldes 82 prosent av alle vellykkede angrep større eller mindre menneskelige feil. Trusselaktører lykkes og inntar systemene våre.
Så, hvordan tenne kamplysten og få med alle?
Mine tre forsvarskamptips:
1) Spill på deres hjemmebane
Det hjelper lite å rope «Hey, dette er viktig!» Finn ut hva som er viktig for den du snakker med, ellers blir det kjedelig. Snakker du med sykepleiere, må du forstå hverdagen deres, hvordan de vil bli rammet, hvordan en inntrenger kan ødelegge journaler, kommunikasjon eller muligheten for å redde liv – og snakke om det.
2) Gjør det enkelt å ta imot pasningene
Se deg selv som trener på en støyfull arena: Gi beskjedene direkte, enkelt og forståelig: Dropp forkortelser, stammespråk og tekniske fiksfakserier, det drukner lett i støy og distraksjoner.
Note to self: For oss sikkerhetskonsulenter gjelder det samme når vi lager dokumentasjon, hjelpetekster eller nye sikkerhetstiltak.
3) Le av egne bomskudd, alle kan lære av dem
Vær åpen om feil, selv vi sikkerhetsfolk har gjort slikt. Vi har fått virus og klikket på skumle lenker, men hvorfor ikke da la andre le litt av det? Det gjør det enklere for andre å forstå, huske og ikke minst kjenne seg igjen – så de ikke gjør samme tabbe som deg.
Joda, i studietiden klikket jeg på en lenke i en e-post, og ... upps! så var PC-en kryptert. Jeg «måtte» betale for å få låst den opp. Flaut, jeg studerte jo akkurat dette! Men gjort var gjort, det var bedre bare å le av sammen.
Så – hjemme hos meg...:
Når jeg bare klarer å bruke disse prinsippene selv, klarer jeg også å engasjere sykepleier-samboeren min, om risiko og trusler – og få henne til å bruke alt sammen. Kanskje hun til og med sprer kampgløden videre til en venn, kollega eller avdelingen. Da snakker vi pasientsikkerhet, via en kunnskapspasning, rett i mål!
PS – et bonus-trenertips:
Er det å skifte passord annenhver måned – feks fra Passord1 til Passord2 osv. beste løsning? Lag heller ett komplisert passord; det er nesten umulig å hacke, og variér på en måte du husker, som: GullDrypp@SAS60MeterPers - Bytt ut SAS for hvert sted passordet brukes, som GullDrypp@DNB60MeterPers
FAKTA
Oktober er europeisk sikkerhetsmåned. Målet er å øke bevisstheten og kunnskapen om digital sikkerhet.
Forfatter er tidligere ansatt i Sopra Steria, Therese Bjerkestrand.
Innlegget ble først publisert i DN 24.10.2022
Kan vi hjelpe virksomheten din med sikkerhet?
Kontaktperson: Jørgen Rørvik