Sådan får du ledelsens opmærksomhed på awareness

4. oktober 2018 - Ved din ledelse, at oktober er National Cyber Security Awareness Month? Vores gæt er nej. De har sikkert travlt med andre ”value-adding activities”.

Oktober måned fejres som National Cyber Security Awareness Month hvert år i it-sikkerhedsbranchen.

Vi vil gerne bidrage med et par gode råd til, hvordan du kommer forbi en af de største hæmsko for udbredelsen af awareness i danske organisationer – manglende opmærksomhed fra den del af ledelsen, der ikke er så it-sikkerhedsmindede.

Hos Dubex har vi de seneste år oplevet en positiv tendens til, at danske it-afdelinger får øjnene op for Awareness.

Det er dog stadig en udfordring for mange at få opmærksomhed fra den øvrige del af ledelsen. Det skyldes selvfølgelig, at de har travlt med andre ”value-adding activities”. Men det skyldes også, at awareness-programmer er en ret ukendt størrelse for mange af de it-folk, der står med ansvaret. Med awareness er der tale om et tværfagligt projekt, der indeholder elementer fra it, HR, kommunikation og Facility Management – det er ikke et traditionelt it-projekt.

Vi oplever, at dette ofte resulterer i berøringsangst og lange beslutningsprocesser, der måske ender ud i ingenting, selvom den gode vilje er der.

Dette kommer ikke til at ske for dig, for du vil nu få indsigt i en håndfuld værktøjer, der kan bruges til at få opmærksomheden fra hele ledelsen.

Seks værktøjer til at få ledelsens opmærksomhed

1.    Vis virkeligheden til din ledelse. Giv dem syn for sagen med nogle konkrete tal for adfærden i jeres organisation. Du kan for eksempel lave en simpel penetrationstest ved at sende en phishing-test ud via e-mail, chat eller en anden kommunikationskanal. Eller, ved at sprede nogle USB-stiks ud på lokationen og måle hvor mange, der bliver sat i computeren hos en nysgerrig medarbejder.

2.    En anden måde at få tal på adfærden på, er ved at lave et medarbejder-survey med adfærdsmæssige spørgsmål som: ”Er du gået fra din computer uden at låse den?”. Åbn gerne op for gradbøjning i svarmulighederne, fx ”ja, inden for en uge; ja, inden for en måned”. Husk endelig at gøre dit survey anonymt. Ellers har de færreste nok lyst til at fortælle, at de går fra en ulåst computer.

3.    Hvis du har mulighed for at lave en live hacker-demo for ledelsen, kan det være et meget stærkt middel til at få deres opmærksomhed. Få dem til at lægge dagligdagen fra sig et øjeblik, og vis, dem hvor let det er at være hacker i vores digitaliserede verden. Du kunne fx opstille et man-in-the-middle-attack, hvor lederne oplever, hvor let det er at påvirke den information, de ser på internettet via Wi-Fi på deres smartphones.  

4.    En anden mulighed er at lave en kort præsentation af en reel hændelse, der er sket hos en organisation, der ligner jeres. Der findes mange eksempler, hvor medarbejderadfærd spiller en rolle - heldigvis deler flere og flere organisation disse erfaringer offentligt. Du kan selvfølgelig også bruge en reel hændelse fra jeres egen organisation og vise, hvor galt det kunne være gået, hvis nogle få ting var gået anderledes.

5.    Det er vigtigt, at du gør det nærværende. Udarbejd en case, hvor du inddrager phishing-testen eller et element fra din hacker-demo som ét af flere steps i den såkaldte kill-chain, som et sikkerhedsbrud består af. Slut casen af med en konkret konsekvens for jeres organisation. Det kunne fx være:

  • Produktionsstop / nedetid
  • Nedetid på webshop
  • Tab af forretningshemmeligheder eller kunders/medarbejderes personoplysninger
  • Overskridelse af deadline for en kundeleverance

6.    Gør det målbart. Lav et simpelt estimat af, hvad det vil koste, hvis de enkelte cases virkelig udfolder sig. Brug fx medarbejderomkostningen pr. time på 330 DKK fra Danmarks Statistik, indsæt en procentdel af jeres webshop-omsætning eller R&D-omkostninger tilknyttet forretningshemmeligheder på et produkt. Hold det simpelt, så det kan kommunikeres på et par linjer.

Hvis du ikke er så velbevandret ud i business cases, så spørg evt. en ven fra finance eller marketing om hjælp til ovenstående step.

7.    Identificér to til tre kritiske områder, hvor du vil ændre adfærden i organisationen. Man bør ikke tro, at man kan flytte på alle parametre med en awareness-kampagne. Det er urealistisk. Adfærdsændring og generel erkendelse af problemet kræver tid – og vi tager små skridt i den rigtige retning. Dette kan være vanskeligt at gøre, før man har overblik over adfærden i organisationen. Faktum er bare, at ledelsen bedst kan lide at sætte gang i tiltag, hvor der er konkrete KPI’er – så det er en god idé at turde tale om dette fra begyndelsen.

Vil du læse mere om Awareness og National Cyber Security Awareness Month?

PS Fik vi sagt, at Dubex laver masser af fede awareness-tiltag med danske organisationer? Læs mere om Dubex Awareness-uddannelsesprogram her, og hør, hvad nogle af vores kunder siger om programmet.