Privatlivstræthed. Det lyder som en eksistentiel krise i et midaldrende parforhold. Men det er det ikke.
Fænomenet ”Privacy Fatigue” er den følelse mange får af de endeløse rækker af cookie-godkendelser, sikkerhedsadvarsler og ”Er du sikker på, at du vil installere dette program?”. En træthed, der til sidst får større indflydelse på menneskers computeradfærd end advarslerne selv – til trods for de formanende ord fra IT-chefens seneste sikkerhedsgennemgang.
Dine kolleger udfører bare deres job
Inden du tager dig til hovedet, fordi endnu en medarbejder er hoppet på phishing-krogen, skal du minde dig selv om, at medarbejderne sjældent gør det i ond mening.
Dine kolleger uden for IT-afdelingen (ja, og også inden for afdelingen) er nemlig optaget af deres egne opgaver og af at udføre dem så effektivt og godt som muligt.
Det er altså ikke sært, at medarbejderne downloader ikke-godkendte tredjepartsprogrammer, som forbedrer deres arbejdsproces, og det er heller ikke sært, at de ikke altid læser sikkerhedsadvarslerne, men blot trykker ”Godkend”.
Med andre ord er det ikke af ond vilje, at dine kolleger glemmer den sikkerhedspræsentation, du holdt i kantinen for to måneder siden, men fordi de har travlt med at løse de opgaver, de er ansat til.
Security Nudging – den brugervenlige tilgang til sikkerhed
Med de gammelkendte metoder står din IT-afdeling altså til at tabe sikkerhedskampen. Mennesker er og bliver det svageste led i sikkerhedskæden, og hvis ikke du formår at ændre deres IT-adfærd, udsætter du jeres virksomhed for en stor sikkerhedstrussel.
Heldigvis er der en løsning: Du kan nemlig begynde at tænke i ”nudging”-strategier.
Nudges (på dansk: ”Puf”) er en måde at påvirke folk til at vælge at tage det rigtige valg, når de står i situationen. Nudges kan både være i form af rettidige, venlige påmindelser om de ”gode” beslutninger, og det kan indebære at besværliggøre de ”forkerte” beslutninger.
Et nudge må ikke være til besvær
Et nudge må dog ikke stå i vejen for, at dine kolleger kan være effektive. For at introducere nye vaner skal du forstå de kompromisser og takeoffs, som medarbejderne skal indgå for at indarbejde dem. Nye vaner og procedurer skal altså bibeholde eller forbedre effektiviteten i dine kollegers arbejdsgange.
Selvom den påkrævede research, overvejelserne og arbejdet med at indføre et nudge kan virke uoverkommelige, vil du ofte kunne hente store, målbare forbedringer, når et velgennemtænkt sikkerheds-nudge er indført.
Prøv disse sikkerheds-nudges først
Nogle sikkerheds-nudges kræver stor forberedelse, og andre er både simple og billige at implementere. Her har du tre idéer til nudges, som vil øge jeres IT-sikkerhed fra dag ét:
#1 Lås-skærm-nudge
Det er svært at vænne sig til at låse sin skærm, når man forlader den. I mange virksomheder er midlet, at kække kolleger skifter den ulåste computer til Justin Bieber-tema. Sjovt, men også med risiko for, at supportafdelingen må hjælpe den nødstedte.
Prøv i stedet at trykke påmindelser i bunden af jeres kaffekopper, så medarbejderne bliver mindet om at låse computeren, lige inden de går hen efter en genopfyldning.
Prøv også at føre statistik over, hvor mange der husker at låse skærmen. Vis dagens ”score” i kantinen, og læg dermed et positivt socialt pres på de glemsomme.
Husk også at autolåse computere, når medarbejderne er inaktive. Find et tidsinterval, der balancerer sikkerhedsrisikoen med irritationen over at skærmen låser blot ved en 2 minutters samtale på tværs af skrivebordet.
#2 Undgå-phishing-nudge
Første skridt til at undgå phishing-mails er naturligvis et godt spam-filter. Skulle uønskede e-mails alligevel finde vej gennem muren, er næste forsvarsværk medarbejderne selv.
Prøv at opsætte en ”advarsel”, der popper frem, hvis en medarbejder klikker på et link fra en ukendt afsender. I stedet for en klassisk advarsel, så prøv at skrive:
Hej Torben!
Vi kender ikke ”[email protected]”, og tøver derfor med at åbne for sikkerhedsdøren.
Kender du afsenderen godt nok til, at du vil lukke ham ind uden sikkerhedstjek?
Knap 1: Lav sikkerhedstjek først
Knap 2: [email protected] er velkommen
Klikker din kollega på ”Lav sikkerhedstjek”, så skal det gå stærkt. Husk at din kollegaer gerne vil være effektive i de opgaver, de forsøger at løse. Hvis det er muligt, skal sikkerhedstjekket derfor være automatisk, så din kollega får respons med det samme og ved, om linket er skadeligt eller ej.
#3 Nudge med en sikkerhedspostkasse
Et klassisk hacker-trick er at efterlade USB-pinde med din virksomheds-logo uden for jeres bygning.
Når en venlig kollega finder USB-stikket og vil returnere det til den rette ejermand, opstår truslen: USB-stikket sættes i computeren for at finde ejermanden, og hackeren har nu adgang til jeres system.
Problemet med denne adfærd er, at det er gjort i den bedste hensigt, og handlingen er derfor svær at forhindre.
Prøv derfor at opsætte en rød postkasse lige ved indgangen, hvor man kan aflevere fundne USB-nøgler, mobiltelefoner, og anden hardware, som medarbejderne måtte støde på.
På den måde gør du det endnu nemmere for medarbejderne at være hjælpsomme, og du sikrer, at ubudne USB-stik destrueres, og at harmløse, forlagte USB-stik returneres til de rette personer.
Bonus-tip: Sig tak!
Det lyder elementært, men et simpelt ”tak” er faktisk et effektivt middel til at bevare dine kollegers fokus på sikker IT-adfærd.
Så når din kollega melder ind med en sikkerhedstrussel eller husker at låse sin skærm, så sig tak!
Tak dem, fordi de gør dit arbejde nemmere, fordi de sikrer virksomhedens data, og fordi de gør en indsats.
Det kan være en takke-mail, når de henvender sig til supporten, eller endnu bedre: En håndskrevet note eller et personligt ”tak”, når du møder dem på gangen. Jo mere personlig, desto større adfærdsændring vil du se.
Så næste gang du skal indføre nye sikkerhedsprocedurer, så husk på, at ingen læser jeres code-of-conduct, og at ingen husker en sikkerhedspræsentation, når de har travlt.
Hjælp i stedet dine kolleger med at huske IT-sikkerheden, når det er allermest relevant; når de forlader skrivebordet, modtager en fremmed mail eller finder en USB-nøgle på parkeringspladsen.