Keynote til Dubex Summit: Hvordan styrer du den menneskelige faktor i it-sikkerhed?

12. november 2019 - Hun er kåret som én af de mest indflydelsesrige kvinder inden for it-sikkerhed i Storbritannien. Hendes arbejde dækker de psykologiske og sociologiske aspekter. Oplev Jessica Barker i Danmark, hvor hun deler værdifulde input til, hvordan du kan styre den menneskelige faktor i it-sikkerhed.

Hvordan påvirker man medarbejderne, når det kommer til it-sikkerhed? Hvor modtagelige er de for ondsindet manipulation? Hvordan reagerer de på trusler og frygt? Og hvordan engagerer du dem positivt i sikkerhedsarbejdet?

Vi ved, at mennesker ofte er det svageste led i it-sikkerhed, og derfor er de en central faktor at inddrage i din risikostyring.

Den britiske sikkerhedsspecialist Jessica Barker har en baggrund i sociologi og er specialiseret i den menneskelige side af it-sikkerhed. Hun er især interesseret i holdninger og adfærd, og hendes arbejde er fokuseret på kommunikation, opmærksomhed og kultur – netop det menneskelige element.

Byg medarbejderne op i stedet for at bryde dem ned

Der er eksempler på, at menneskelige fejl har medført katastrofale sikkerhedsbrud. Mennesker begår fejl – det er naturligt. Som en central del af sit konsulentarbejde promoverer Jessica Barker en fremgangsmåde, hvor man ikke udpeger syndebukke og ikke omtaler medarbejdere som dumme.

”Når jeg ser mennesker angribe andre for at have dårlige adgangskoder, at klikke på links eller for at være blevet manipuleret med social engineering, føler jeg ubehag,” fortæller Jessica og begrunder: ”De fleste mennesker ønsker at gøre et godt stykke arbejde og handler i god tro. At kalde dem for dumme brugere fremmedgør dem bare og får dem til ikke at engagere sig i sikkerhed og til ikke aktivt at stille spørgsmål.”

It-sikkerhed bør være opbyggeligt og ikke nedbrydeligt, understreger Jessica: ”Hvis vi ikke gør vores arbejde for at hjælpe folk, hvorfor gør vi det så?”

Der er mange nyttige akademiske vinkler på it-sikkerhed

Da Jessica studerede på universitet, havde hun ikke umiddelbart overvejet it-sikkerhed som en karrierevej. Hun arbejdede med byplanlægning og tog en kandidatgrad i forskningsmetodologier og en ph.d. i samfundsdesign.

Men hendes akademiske vej har vist sig at være særligt brugbar inden for it-sikkerhed og har drevet hendes arbejde med en menneskecentreret tilgang.

”Sociologi handler om at forstå mennesker og sociale strukturer,” siger hun. ”I it-sikkerhed skal du forstå, hvorfor folk gør, som de gør, og hvordan du kan påvirke det på en positiv måde.”

I sit arbejde med it-sikkerhed analyserer hun virksomheders kulturer og subkulturer, undersøger adfærdsmønstrene og skaber rum for læring.

”Vi vil se flere mennesker inden for psykologi, kommunikation, sociologi og uddannelse indtage roller i it-sikkerhed fokuseret på den menneskelige side for at bringe værdifuld forandring inden for feltet,” mener hun. I Dubex er vi enige i denne betragtning, og vi møder også stadigt flere mennesker i vores arbejde, der ikke har en teknisk baggrund, men i stedet en mere juridisk, humanistisk eller business-orienteret.

Flere perspektiver styrker sikkerheden

Da mennesker spiller en stor rolle i it-sikkerhed, har Jessica været fortaler for at skabe mere diversitet i branchen. Hun opfordrer unge mennesker – og især piger – til at engagere sig.

En helt ny undersøgelse viserat 8. klasses piger i Danmark har meget lidt tiltro til deres evner inden for it-sikkerhed – på trods af, at de rent faktisk er lige så dygtige og på nogle områder endnu dygtigere end drengene.

”Vi arbejder med nogle komplicerede emner inden for it-sikkerhed, og vi har brug for talentfulde medarbejdere til at løse udfordringerne,” har Jessica udtalt. ”Mangfoldighed blandt arbejdsstyrken bringer også forskellige verdenssyn og forskellig erfaring med sig. Mennesker med forskellige livserfaringer vil tackle udfordringer på forskellige måder.”

Diversitet i medarbejderstaben bidrager positivt til sikkerhedsarbejdet.

”Talent er ligeligt fordelt blandt befolkningen, så når du har en underrepræsentation af én eller flere sociale grupper i din virksomhed eller branche, har du mindre talent, end der er i verden som helhed,” påpeger hun. ”Mulighederne bør være åbne for alle, og dygtige individer skal være i stand til at trives på et så fascinerende og givende felt som it-sikkerhed, uanset deres køn, etnicitet, seksualitet eller andre faktorer.”

Hvordan håndterer du den menneskelige faktor?

Udover at være med i en række bestyrelser – bl.a. som bestyrelsesforperson i ClubCISO, et britisk forum for it-chefer – er hun en aktiv debattør i medier som The Guardian, BBC og Sunday Times. I dag driver hun sin egen it-sikkerhedsvirksomhed, Cygenta, sammen med sin mand. Hun beskriver deres partnerskab som, at han er angriberen, mere fokuseret på den tekniske og fysiske sikkerhed, mens hun er forsvareren, der netop har fokus på den menneskelige side, og hvordan vi kan håndtere den faktor for at sikre os bedst muligt.

Det kan du få input til, når Jessica Barker kommer til Dubex Security & Risk Management Summit 2020 den 3. marts i Horsens og den 5. marts i København.

Sikkerhedsanalyse

Med en sikkerhedsanalyse får du overblik over din virksomheds reelle sikkerhedsniveau og udfordringer. På baggrund af det kan du påbegynde et fokuseret projekt, der skal føre din virksomhed frem til det ønskede sikkerhedsniveau.

Dubex Security & Risk Management Summit 2020

I 14 år har Dubex Summit været det foretrukne event for videndeling og råd om it-sikkerhed. Stadig flere ledere tilslutter sig i søgen efter redskaber til håndtering af digitale risici. Datoerne for 2020 er klar, og der er åbent for tilmeldinger. Tilmeld dig nu, og sæt kryds i kalenderen.

Awareness-uddannelse

Dubex Awareness-uddannelsesprogram stiller skarpt på generelle og specifikke trusler og sikrer, at alle medarbejdere ved, hvordan de skal handle, når de oplever noget mistænkeligt. Programmet leveres som en samlet pakke inkl. printmateriale og projektledelse.