Når en hel bedrift skal læres opp i IT-sikkerhet, gjelder det å finne en balansegang mellom å gi folk en forståelse av hvorfor det er viktig, uten å dra på med skremselspropaganda. Mange av uttrykkene vi bruker når vi snakker om IT er fremmede for den gjengse mann og kvinne i gata, noe som kan skape en avstand til innholdet og budskapet. Å snakke om kompliserte tema på en lettfattelig og tilgjengelig måte kan være en utfordring, og nettopp derfor kan det være fint å få inn et IT-sikkerhetsselskap for å bistå i denne prosessen.
I bunnen av alt vi snakker om når det gjelder internopplæring i IT-sikkerhet, ligger de ansattes holdninger. For mange fremstår dette som rutiner som forlenger arbeidsoppgavene deres og frarøver dem verdifull arbeidstid. Blir man målt på effektivitet, er alle innloggingsprosesser som tar mer tid enn det som oppleves strengt nødvendig, et irritasjonsmoment. Dette har vi forståelse for, og samtidig blir det desto viktigere å synliggjøre hvorfor vi anbefaler nettopp disse rutinene. Får alle ansatte en forståelse av hvorfor, er sjansen større for at de også kjenner på et eierskap til det hele. Da har bedriften et svært godt utgangspunkt for å etablere en felles holdning til dette arbeidet.
Gjør det forståelig ved å gjøre det konkret
IT-sikkerhet er et stort og komplekst fagfelt, og det er fort gjort å la seg fare av sted med eget engasjement, og plutselig befinne seg i en heldags forelesning om hva og hvorfor. Ansatte er sjelden en helt homogen gruppe, og kunnskapsnivået innenfor en stab vil variere. Dermed vil det mest sannsynlig sitte noen der som synes det hadde vært helt topp med en heldags forelesning om IT-sikkerhet, mens andre har nådd sitt metningspunkt etter 30 minutter.
Det som derimot ser ut til å være virkningsfullt for alle mennesker, er når man får erfare hvorfor tiltakene vi anbefaler er viktige. Phishing og cyberangrep er noe de fleste har hørt om, gjerne i form av det som utgir seg for å være frierbrev, eller lovnader om gull og grønne skoger fra en onkel du ikke visste du hadde. Disse metodene brukes fortsatt, men de fleste phishingforsøkene vi ser i dag, er langt mer profesjonelt utarbeidet enn de nevnte eksemplene. Selv om man er oppegående, observant og våken, er det fortsatt mulig å gå i fella. Vi vet at det finnes mange veier inn i bedriften for cyberkriminelle, og selv vi som jobber med IT-sikkerhet går i disse fellene.
Heller enn å fortelle ansatte i en bedrift om hvor skumle phishingforsøk vi har sett, eller hvor overhengende faren er for at nettopp de kan bli rammet av et slikt angrep, er den desidert mest effektive metoden for å sikre læring, å arrangere et kontrollert digitalt angrep.
Når vi henter frem en oversikt over hvor mange ansatte som bet på våre phishingforsøk, pleier alvoret å synke inn på en helt annen måte. Denne statistikken er selvsagt helt uten navn, poenget er ikke å henge ut enkeltpersoner, men å vise hvor utspekulerte hackerne er, og at det går an å slippe kriminelle inn i bedriftens systemer uten selv å være klar over det.
Vi kan også vise hvor enkelt det er å få tak i passordet den enkelte bruker for å logge seg på jobbmailen. Siden vi vet at mange bruker det samme passordet i både nettbank, til Facebook og til e-posten sin, er det lett å se hvilke ringvirkninger det får dersom passordet kommer i feil hender. Det samme gjelder usikrede nettverk ansatte har logget seg på. Ved å hente opp en enkelt PC og vise hvor mange eksterne, usikrede nettverk den automatisk kobler seg opp mot, får vi en oversikt over hvor brukeren har vært. Her er ikke poenget å peke finger mot de ansatte, men å bevisstgjøre dem på risikoen de utsetter både seg selv og bedriften for ved å opptre uforsiktig.
Brukervennlige løsninger
Like viktig som å vise ansatte hvor lett det er å gå i fella og hvor raskt det går før hackerne er inne i systemene, er det å kunne tilby alternativer til den måten de gjør dette på i dag. Å påpeke svakheter har ingenting for seg dersom man ikke samtidig gir løsninger for å snu trenden.
De rådene vi kommer med i en slik opplæring, er ofte ikke noe nytt for de ansatte. De fleste har hørt om flerfaktorautentisering, de vet at de ikke burde bruke det samme hjemmesnekrede passordet på flere tjenester, og de vet at det ikke er anbefalt å logge seg på åpne nettverk. For å unngå at engasjementet vi ser under opplæring ikke skal forsvinne igjen så fort hverdagen er tilbake, gjelder det å tilby enkle, tilgjengelige løsninger på hva de ansatte bør gjøre. Disse tipsene bør være konkrete og håndfaste, med steg-for-steg-oppskrifter og tilbud om bistand dersom det er ønskelig. Etabler en VPN-løsning kombinert med god endepunktssikring, vis hvordan man oppdaterer operativsystem og programvare, og gi opplæring i hvordan de laster ned og tar i bruk en passordmanager og flerfaktorautentisering.
Foruten de tiltakene som går direkte på IT-sikkerheten, hender det ofte at ansatte er frustrerte over forbud mot programmer og tjenester de anser som velfungerende arbeidsverktøy. Her er det viktig at arbeidsgivere forstår hva de ansatte prøver å løse ved å ta i bruk slike verktøy. Dropbox er et eksempel, mange bruker det for å dele filer med både kolleger og eksterne samarbeidspartnere. Dersom arbeidsgiver ikke anser Dropbox for å være sikkert nok, bør man få et alternativ på plass før man legger ned forbud.
Små drypp
De fleste av oss synes det vi selv driver med er spennende og viktig. Og selv om de fleste vil si seg enige i at IT-sikkerhet er et felt som bør prioriteres internt, kommer det også et metningspunkt hva gjelder informasjonsmengde. Vi vil unngå at noen sitter med en opplevelse av å få IT-sikkerhet tredd ned over hodet, og anbefaler å porsjonere det ut over tid.
Kanskje kan man på hvert månedsmøte sette av noen minutter til å gi et tips eller en oppfriskning av rutiner eller prosesser knyttet til IT-sikkerheten, eller det kan gå ut på e-post til de ansatte. Det finnes mange knagger å henge dette på gjennom året. En aktualisering av IT-sikkerhet ved å hekte det på utenlandske eller åpne wifi-nettverk like før sommeren, for eksempel, gjør at mange ansatte kjenner seg igjen. Så fort du bringer gjenkjennelige problemstillinger på bane, blir det straks mer interessant for ansatte å ta grep. Ingen vil jo være den som uforvarende brukte et usikret nettverk i en fornøyelsespark og på den måten slapp cyberkriminelle inn i bedriftens systemer.
Rent praktisk er det mange måter å løse dette på, det viktigste er at kommunikasjon omkring IT-sikkerhet ikke blir så omfattende og hyppig at det oppleves som mas eller spam. Vi anbefaler små drypp jevnlig, med relevante og tilgjengelige tips.
Øvelse gjør mester
En ekstern aktør innen IT-sikkerhet kan gjennomføre kontrollerte phishingforsøk, også i etterkant av opplæringen. På den måten kan både ledelsen og andre ansatte i bedriften få et realistisk bilde av om opplæringen og tiltakene som er foreslått blir fulgt, og om de har ønsket effekt. Det er viktig at disse kontrollerte forsøkene ikke forekommer så hyppig at det får en “ulv-ulv”-effekt, men at de blir et virkemiddel for å holde de ansatte fortsatt skjerpet.
Skrivebordsøvelser, der IT-sikkerhetsselskapet arrangerer en praktisk test, er en annen måte å teste om rutinene er forankret i ansattes hverdagspraksis. I tillegg er det svært effektivt å øve seg på håndtering av ulike situasjoner knyttet til IT-sikkerheten. Dette er også noe kolleger kan gjøre sammen, for å sjekke at alle har kontroll på hva de skal gjøre i ulike situasjoner. Dette kan være noe så “lite” som å sikre at alle har forstått hvordan man bruker en passordmanager eller hvordan man rapporterer inn phishingforsøk direkte i Outlook eller Gmail.
I andre del av denne artikkelen kan du lese videre om beste praksis ved internopplæring i IT-sikkerhet.
Les videre: Internopplæring i IT-sikkerhet: Dette bør du tenke på - Del 2/2
