Privacy-awareness der virker – i hele organisationen

Mennesket kan være den største sårbarhed i jeres indsats for at sikre jeres data. Står privacy højt på den strategiske prioriteringsliste? Skal kundernes privacy og tilliden til at I passer på deres data være en stærk business-driver? Hvis du kan svare ja til disse spørgsmål så skal i have stærke awareness-initiativer der gør medarbejderne nysgerrige og beskytter dem mod at deres adfærd, uden at de vil det, kan være skadelig for organisationen.

Når du skal til at udvikle dit næste awareness-initiativ, så stil dig selv disse spørgsmål:

• Er det muligt for medlemmer af organisationen at dele sine erfaringer og fejl, for at undgå nul-fejls-kultur? Går ledelsen forrest og agerer rollemodeller og ambassadører?
• Har alle i organisationen en grundlæggende viden om, hvorfor privacy og den dertilhørende nødvendige sikkerhed er fundamentalt for organisationens succes og tillid fra kunder eller brugere?
• Møder I folk dér hvor de er? Er awareness direkte relevant i organisationsmedlemmernes daglige arbejde? Bygger I videre på eksisterende viden? Lytter I til deres spørgsmål? At blive lyttet til og forstået, kan ofte dæmme op for mulig modstand for nye initiativer.
• Privacy og sikkerhed kan også være spændende og sjovt – Er der lagt op til, at awareness-tiltagene udelukkende består af triste statistikker og farerne der lurer – eller bringer I mulighederne i spil?

Mennesket kan være den største risiko for effektiv privacy - men mennesket er også den sidste bastion.

Privacy-awareness – Buzzword eller effektivt værktøj?

Når I skal i gang med det næste awareness program, så afhænger projektets succes af om jeres initiativer kommer til at have den ønskede effekt i form af privacy-fremmende og risiko-minimerende adfærd. Privacy og sikkerhed stiller nogle af de samme krav til vores adfærd – eksempelvis at vi passer på den data vi håndterer, og det er derfor vigtigt at I forholder jer til de menneskelige faktorer.

Center for Cybersikkerhed har vurderet at “ubevidste insidere” er  involveret i op mod halvdelen af registrerede sikkerhedshændelser, og awareness kampagner kan derfor med fordel rettes mod sådanne ’ubevidste insidere’.

"Even the finest technology cannot succeed in solving information security problems without the continuous human cooperation and the effective use of this technology.”

The Human Factor in Information Security: Unintentional Damage Perspective, Metalidou et al. 2014

Hvad er en ubevidst insider?

Ubevidste insidere er medlemmer af organisationen, der ikke er klar over, at deres adfærd kan være skadelig for organisationen.

Det kan eksempelvis dreje sig om uagtsom deling af data eller at lukke en forkert person ind i bygningen. Når man vurderer hvilke risici der er relevante ifht intern sikkerhed, skal man altså ikke blot undersøge risikoen for bevidst ondsindede handlinger, men også manglende viden.

Kriminelle eller personer der ønsker adgang til jeres data kan anvende psykologiske taktikker (også kendt som ”social engineering”) og viden om den menneskelige psyke og adfærd, til at udnytte en persons vanetænkning, autoritetstro, nysgerrighed eller hjælpsomhed. De kan udnytte loyale og servicemindede medarbejdere og deres ønske om at hjælpe.

Find ud af hvad der er vigtigst for jer.

Til at begynde med, er det afgørende at erkende, at 100 % sikkerhed ikke findes. Trusselsbilledet er under konstant forandring. Angreb bliver mere sofistikerede og med en lang række af mulige sårbarheder, vil det ikke være muligt at læne sig tilbage med en viden om, at nu er sårbarhederne elimineret for ens netværk, infrastruktur eller supply chain.

Derfor er det afgørende, at I identificerer hvilke data, der er særligt vigtige for jer at beskytte. Undersøg derefter om der er nogle af disse data, der er underlagt en særligt høj risiko, eksempelvis i form af manglende processer eller viden om hvilke data man må sende til eksterne.

Derudover kan I tænker over hvordan i bedst anvender eksisterende ressourcer: Kan I involvere de personer i organisationen som er gode til at stille spørgsmål og lytte? Hvad hører de der eksisterer i organisationen af udfordringer? Er der særlige områder, hvor organisationsmedlemmer er frustrerede over manglende viden eller ressourcer?

Ved at lave det forudgående benarbejde og tage højde for ubevidste insidere, kan I skærpe jeres investeringskapacitet, så I sætter målrettet ind dér hvor i kan gøre den største forskel. Hvem vil ikke gerne bruge 20 kroner på at løse et problem til én million kroner?

Del jeres fejl.

En organisation med nul-fejls-kultur, blokerer sig fra potentialet for at integrere ny læring og erfaringer på tværs. Hvis ikke medlemmer af organisationen, der kommer til at agere som ubevidste insidere kan stå frem og dele deres fejl - så er det kun det enkelte individ der lærer noget af denne fejl. Derudover er der en øget sandsynlighed for, at personen vil dække over sin fejl, så ikke det får omdømme- eller ansættelsesmæssige konsekvenser. Ved at gøre det til en dyd at dele sine fejl og stille undrende spørgsmål, skærper i yderligere muligheden for at opfange mulige angreb i den indledende fase, og øger derved sandsynligheden for at kunne minimerekonsekvenserne.

Hvad virker bedst – pisk eller gulerod?

Selvom det er afgørende, at alvoren fremgår, når der bliver kommunikeret om behovet for sikkerhed som led i jeres privacy-fremmende praksisser, så kan i med fordel sikre jer, at ikke al kommunikation eller uddannelse relateret hertil er negativt eller peger på negative risici.

I kan italesætte mulighederne der følger med stærke sikkerheds-praksisser - eksempelvis hvordan god sikkerhed kan styrke tilliden fra jeres kunder, hvordan det gør jeres hverdag mere sikker eller hvordan det er en stærk business-driver. At skabe et fundament af basisviden om privacy og informationssikkerhed, er en måde at passe på den enkelte medarbejder - og det er med til at klæde dem på til også bedre at kunne træffe fornuftige digitale valg i deres professionelle og private liv. Det er i sidste ende også en måde at beskytte dem fra at gøre noget ulovligt.

Sikkerhed kan også med fordel integreres som en del af MUS, KPI’er, 9-grid eller hvilket evaluerings- og feedbackværktøj i anvender hos jer. På den måde gør I privacy til en del af jeres DNA.

Den ubevidste insider bør ikke straffes - den ubevidste insider skal støttes i at få vækket sin interesse for cybersikkerhed og hvorfor det er helt afgørende i jeres organisation. Det kan være at I har en Code of Conduct som forventes overholdt. Denne CoC kan også afspejle adfærd forbundet med privacy, og som medlemmer af organisationen kan hjælpe hinanden med. Beskyt organisationen ved at støtte organisationsmedlemmerne i at træffe informerede digitale beslutninger.

Josefine Ehlers Davidsen, cand.psych.

Fuldmægtig hos Kontoret for it-sikkerhed og databeskyttelse, Styrelsen for it og læring, Undervisningsministeriet.

Engageret i krydsfeltet mellem privacy, informationssikkerhed, adfærdspsykologi og menneskets natur.