Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
En sikkerhedspolitiks værdi står og falder med, om medarbejderne kender og følger den.
I mine seneste artikler her i bladet har jeg gennemgået, hvordan virksomheden kan få en it-sikkerhedspolitik. Som en efterskrift er her nogle tanker om, hvordan man får kommunikeret det glade budskab ud til medarbejderne.
Selv den bedste bog er ingen succes, hvis den aldrig bliver åbnet. Den skæbne er desværre blevet mange sikkerhedspolitikker til del. De står og samler støv på it-chefens kontor ved siden af ringbindene med kvalitetsstyringsprotokollerne. Det skyldes ikke nødvendigvis, at der er noget galt med indholdet. Problemet ligger i formidlingen.
Medarbejderne i en virksomhed er ansat til at udføre en bestemt opgave. Som redskab hertil anvender de it. Men det er kun de færreste, der finder it spændende. Og it-sikkerhed er der endnu færre, der interesserer sig for.
Pisk og gulerod
Derfor er det svært at få medarbejderne til at bruge tid på at sætte sig ind i virksomhedens krav til it-sikkerhed – de vil simpelthen hellere passe deres arbejde. Løsningen er at gøre det til en del af deres arbejde. Her kan man kombinere de gammelkendte metoder pisken og guleroden.
Pisken kan bestå i, at medarbejderne skal tage et kursus i it-sikkerhed. Som led i kurset skal de bestå nogle prøver, hvor deres viden bliver testet. Det kan være et krav, der står i deres ansættelsesaftale.
Guleroden kan være en konkurrence, hvor man kan vinde præmier, hvis man kan besvare spørgsmål om it-sikkerhed rigtigt. Både kursus og konkurrencer kan finde sted foran skærmen i form af e-læring.
Ledelsen skal med
Hvem skal sørge for at formidle it-sikkerhedspolitikken? I den lille virksomhed vil det ofte være godt, hvis lederen selv tager sig af det. Derved signalerer han, at det er et emne, virksomheden tager alvorligt. Til de mere tekniske detaljer kan han så få hjælp fra den it-ansvarlige.
I større virksomheder er ledelsens opbakning også afgørende. Selve indholdet af politikken kan den it-ansvarlige hjælpe med, men til formidlingen skal man bruge andre kompetencer, end it-folk typisk er udstyret med. Det handler om at kunne informere, påvirke og ændre folks adfærd. Det kan markedsføringsafdelingen.
Så opgaven med at formidle it-sikkerhedspolitikken kan med fordel løses med en kampagne, som it- og markedsføringsfolkene udformer i fællesskab på vegne af ledelsen.
Oprindelig bragt i Børsen ITinnovation den 24.januar 2005