Når IT-sikkerhet blir et HR-ansvar

Slik startet Preben Huseby fra Computas sitt foredrag om sikkerhet og HR på Computerworld sin årlige People Tech-konferanse torsdag. Han mener at HR må få en tydeligere rolle i organisasjonens IT-sikkerhet.

– Sikkerhet finnes på mange forskjellige nivåer og er forskjellig fra organisasjon til organisasjon. Men for de ansatte er det ofte knyttet til HMS og arbeidsmiljøloven, og det som i sum utgjør den sosiale og psykologiske sikkerheten som gjør at de trives og klarer å utføre arbeidet sitt, sier Huseby, og legger til:

– Fellesnevneren er at det handler om mennesket. IT-sikkerhet handler derimot, i all hovedsak, om system. Burde det ikke være en sterkere relasjon mellom den ansattes sikkerhet og IT sikkerhet?

7 av 10 frykter dataangrep som følge av menneskelige feil

For tredje året på rad har Norstat på vegne av Computas spurt norske bedrifts- og organisasjonsledere i offentlig og privat sektor om digitalisering. I undersøkelsen kommer det frem at 70 prosent frykter dataangrep som følge av menneskelige feil eller manglende kompetanse. Huseby er ikke overrasket.

– Frykten er jo reell når vi vet at 90 prosent av alle vellykkede angrep faktisk skyldes menneskelige feil. Det er kanskje ikke så rart når kun tre prosent av IT-budsjettet går til sikring av de ansatte.

Han mener det er helt essensielt at bedriftene både har gode IT-sikkerhetsløsninger, men også at de jobber aktivt med å senke risikoen for de menneskelige feilene gjennom opplæring og oppfølging av de ansattes sikkerhetskunnskaper. For å påvirke og hjelpe de ansatte mener han at vi må se på det helt grunnleggende i menneskelig atferd.  

– Selv om den ansatte vet, betyr det ikke at vedkommende bryr seg nok. Og kreves det noe som er unaturlig i arbeidsprosessen, blir det ikke gjort. Derfor er hva de ansatte gjør langt viktigere enn hva de vet, sier han, og følger opp med et eksempel:

– Hvis du ser at pennen din triller ned fra pulten tipper jeg de fleste automatisk forsøker å stoppe den fra å falle ned, kanskje med det resultatet at en kaffekopp blir tømt utover tastaturet. Selv om alle jo er klar over at kaffe i tastaturet er mer skadelig enn en penn som faller ned på gulvet. Slike reaksjoner er også naturlig i arbeidshverdagen vår, vi handler på ren intuisjon. Får man for eksempel en epost fra en tilsynelatende leverandør som man har dialog med – og denne etterspør noe og ber om et raskt svar – så forsøker man å gi det fremfor å stille spørsmål om hvorfor vedkommende spør. Konsekvensen kan være at man sitter i fellen. 

Huseby tror vi må se på andre måter å lære organisasjonen IT-sikkerhet på enn kun å tildele informasjon.

–  Isolerte kurs er vel og bra, men vi må kontinuerlig øve, teste og kontrollere. Tallene er tydelige: de som har en høy grad av sikkerhetskultur rammes de også, men konsekvensene er mindre siden de ansatte stopper hendelsen. For å skape en slik kultur må hele organisasjonen tenke sikkerhet. HR kan de ansatte, IT kan sikkerheten – sammen må de forenes, avslutter han.