Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
It-sikkerhed er vigtigt. Men hvordan får man organisationen til at forstå og handle efter det i praksis? En ny EU-rapport foreslår, at man angriber opgaven som en øvelse i forandringsledelse.
Rapporten hedder "A Users' Guide: How to Raise Information Security Awareness". Som titlen antyder, handler det her ikke om teknik. Der står ikke meget om firewalls og antivirusprogrammer i rapporten. Derimod handler den om at øge forståelsen af, hvor vigtig it-sikkerhed er.
Det grundlæggende budskab er, at man skal se opgaven som et forsøg på at indføre en forandring: Den typiske organisation og den enkelte medarbejder er i dag ikke særlig opmærksom på it-sikkerhed. Det skal der laves om på. Derfor kan man trække på den viden om forandringsledelse, der er blevet opbygget gennem den sidste snes år.
Målbart mål
Blandt principperne i forandringsledelse er nogle af de vigtige, at man skal fastlægge et klart mål, som processen skal føre frem til: Når virksomheden er kommet gennem processen, skal disse ting være ændret.
Det er vigtigt, at målet fastlægges af en gruppe, der involverer dem, det handler om. Linjeledere og menige medarbejdere med nøglefunktioner skal deltage aktivt i arbejdet. Det giver to fordele: De kan sikre, at processen passer til virkeligheden, og de får et engagement, der giver større chance for succes.
Rapporten foreslår, at man opdeler forandringsprocessen i tre faser: Planlægning, udførelse og evaluering.
I planlægningsfasen skal man fastlægge, hvad projektet skal føre til, hvem det skal henvende sig til, og hvem der skal udføre det. Skal målet kun være at øge viden og opmærksomhed om it-sikkerhed? Eller skal medarbejderne også ændre deres opførsel som følge af den nye viden?
Ledelsen skal med
Udførelsen består både i at udføre opgaverne, lede arbejdet og dokumentere det undervejs. Her er ledelsesarbejdet særligt vigtigt: Uden ledelsens aktive deltagelse og opbakning kan en forandring ikke gennemføres.
Endelig skal man i evalueringsfasen undersøge, hvor godt programmet har virket. Man får mest ud af evalueringen, hvis der er plads til at rette sig efter dens resultater. Det kræver, at man har mulighed for at køre dele af processen igen, efter at de er blevet ændret, så de tager hensyn til resultaterne fra evalueringen. Dermed bliver evalueringen ikke en afslutning, men led i en løbende proces.
Rapporten er skrevet til myndighederne i EU-medlemslandene. Men dens råd er så gode og alment anvendelige, at den også er værd at læse for virksomhedsledere. Den kan findes på www.enisa.europa.eu.
Oprindelig bragt i Børsen ITinnovation den 29. august 2006