Mennesker og adfærd er nøglen til et compliant IT-sikkerhedssystem ifølge IT-sikkerhedsspecialist Karsten Vandrup fra konsulenthuset ChangeGroup. IT-sikkerhed handler om at understøtte dine forandringer, understreger han.
En massiv bøderegn er ved at trække ind over det danske virksomhedslandskab i form af EU’s nye IT-sikkerhedsdirektiv, NIS2, som træder i kraft i 2024. Derfor er en lang række danske virksomheder netop nu i gang med at bygge læ ved at implementere nye løsninger, politikker og retningslinjer for IT-sikkerheden i virksomheden. IT-sikkerhedsspecialist Karsten Vandrup mener dog, at der er et vigtigt fokus, som mange organisationer overser. Skal man tætne alle huller i ens IT-sikkerhed, skal man fra ledelsen forstå, at IT-sikkerhed handler om menneskers adfærd og vaner.
”Når man som virksomhed skal øge ens IT-sikkerhed, skal man først og fremmest lave en sårbarhedsvurdering, og den vil ofte vise, at den største sårbarhed en virksomhed har, er den menneskelige trussel, som opstår, når medarbejdere bliver pålagt forandringer og ny adfærd,” indleder IT-sikkerhedsspecialist og konsulent Karsten Vandrup fra konsulenthuset ChangeGroup.
To typer af forandringsrisici
For medarbejdere vil nye IT-sikkerhedstiltag medføre nye arbejdsvaner og opgaver. Disse vil eksempelvis være i form af nye systemer, anvendelse af two-factor authentication på alle arbejdsplatforme eller at medarbejderne skal overvåge hvilke udefra komne mennesker, som bevæger sig i nærheden af virksomhedens kritiske infrastruktur. I sit arbejde som IT-sikkerhedsspecialist ser Karsten, at man fra ledelsens side ofte glemmer at se på, hvordan alle disse forandringer påvirker de medarbejdere, som skal arbejde med tiltagene i praksis.
”IT-sikkerhed er forbundet med en masse nye tiltag, som kan besværliggøre arbejdsdagen for en hel del medarbejdere. Det skaber to typer af forandringsrisici, som kan spænde ben for virksomhedens IT-sikkerhed,” forklarer Karsten og uddyber,
”For det første kan mange forandringer på én gang skabe forandringsmæthed hos medarbejderne, som gør det svært for dem at absorbere alle de nye vaner, som er nødvendige. For det andet kan det være svært for dem at se, hvad disse ændringer, som presser deres hverdag, bidrager til. De mangler et solidt HVORFOR, og derfor er viljen til at inkorporere disse forandringer ret lille,” forklarer IT-sikkerhedsspecialisten.
Succes med IT-sikkerhed kræver mobilisering af ledelsen
Karsten Vandrup råder derfor virksomhederne til at aktivere ledelsen i forbindelse med implementering af nye eller flere IT-sikkerhedstiltag. Ledelsen skal agere som sponsor for forandringerne, og her er en klar forandringsfortælling omkring, hvorfor disse forandringer er nødvendige og vigtige helt essentielt.
”IT-sikkerhed og forandringsledelse går hånd i hånd. Det bliver svært implementere de forandringer, som øget IT-sikkerhed vil medføre, hvis man ikke får taget hånd om forandringerne 360 grader rundt i organisationen, og her skal ledelsen stå i front,” forklarer Karsten, og uddyber yderligere:
”Vi vil jo gerne have, at vores medarbejdere bruger de nye løsninger korrekt og at de ikke omgår dem, og vi skal derfor have indarbejdet en sikkerhedskultur, der støtter op om sikkerheden. Det kræver ofte kun én sårbarhed at ramme hele systemet,” understreger han. Fremtiden ser dog mindre tung ud for medarbejderne ifølge Karsten Vandrup, som deltager i konferencer over hele verdenen og derfor ser de nyeste innovationer indenfor IT-sikkerhed.
”Indenfor de senere år er der kommet smartere og mindre tunge sikkerhedsforanstaltninger, som ikke får samme betydning for medarbejdernes arbejdsgange. Derfor kan man som virksomhed med fordel gøre brug af IT-sikkerhedsrådgivere, som holder sig opdaterede med de nyeste agile sikkerhedsløsninger,” råder Karsten Vandrup.