tirsdag den 9. juni 2015

Kan du gøre it-sikkerhed sexet? - en guide til awareness-kampagner

Af Lone Forland

Når du har læst mit blog-indlæg har du en god idé om, hvordan du skal gribe fat i din næste awareness-kampagne om it-sikkerhed. Du får konkrete råd til valg af emner, hvem du skal alliere dig med og hvordan du måler, om kampagnen har virket.

It-sikkerhed har ikke ry for at være det mest sexede emne i verden. I manges øjne er det tidskrævende, begrænsende og kedeligt.

En kedelig husmor i et tv-program kan få hjælp af frisører, stylister og modeeksperter til at fremhæve sine interessante sider. På samme måde kan du give it-sikkerhed en makeover for at gøre emnet mere tilgængeligt, relevant og spændende.

Det gør du ved at:
  • få ledelsens opbakning
  • vælge de rigtige emner
  • møde folk, hvor de er

Ledelsens opbakning
Du skal først og fremmest sikre dig ledelsens engagement. Det er der to grunde til: 

For det første er det fra ledelsen jeres medarbejdere skal høre, hvorfor it-sikkerhed er vigtigt. Det har mere tyngde når budskabet kommer derfra.

For det andet er awareness-kampagner ikke gratis. De koster tid i organisationen. Du får kun de ressourcer, du har brug for, hvis du gør ledelsen klart hvorfor I har brug for en awareness-kampagne. Har I fået en anmærkning af revisionen eller skal I følge ISO 27001, har du et hårdtslående argument. Awareness er et krav i ISO 27001 og -2, så her er der ingen vej udenom. Fokus på it-sikkerhed kan desuden spare jer tid og penge. Det koster både på pengepungen og image-kontoen, når en brugerfejl har forårsaget et datalæk eller systemnedbrud.

Awareness handler desuden om kommunikation. Hvis det ikke er din stærke side skal du gøre dig gode venner med jeres kommunikations- eller marketingafdeling, hvis I har sådan nogle. De vil kunne hjælpe dig med at nå medarbejderne i et sprog de forstår. 

Vælg de rigtige emner
Med de nye allierede i ryggen skal du nu finde ud af, hvilke områder din awareness-kampagne skal fokusere på. Der er mange emner at vælge imellem - nogle mere langhårede end andre, så det er nu det overflødige skal klippes fra.

Overvej hvilke problemer I har oplevet, som grunder i brugeres uvidenhed. Nogle eksempler kunne være:
  • Gæster i virksomheden bliver ikke registreret når de ankommer og render rundt uden adgangskort.
  • Dokumenter med fortrolig information ligger og flyder i uaflåste rum.
  • Personfølsom data bliver ikke sendt med sikker post (krypteret).

Hvis du er i tvivl, så tag fat i HelpDesk eller it-supporten, hvis I har de funktioner. De kan fortælle dig, hvad medarbejderne oftest spørger til og er i tvivl om. Du kan også overveje, om I for nyligt er begyndt at benytte nye systemer eller udføre arbejdsopgaver på en ny måde. Er medarbejderne blevet fortrolige med det nye, eller er der mange der laver fejl?

Du vil muligvis finde flere problemer end du kan tage fat i i en enkelt awareness-kampagne. Så må du finde den store saks frem og klippe de mindre væsentlige fra. Gem dem i en skuffe til næste kampagne. Vi skal sørge for enkle og stærke budskaber. Så lav en kort kampagne med et enkelt tema, og så kan du til gengæld lave kampagnerne lidt oftere.

Mød folk hvor de er
Nu skal du ud og møde folk, hvor de er. Jeres medarbejdere sidder foran deres computere, de spiser i kantinen, og de går til fredagsmorgenmøder. Det er her du skal møde dem. Det kan du fx gøre ved hjælp af:
  • Happenings - Små sjove happenings der får folk til at tale. Det kunne være at lægge små figurer eller andet på medarbejdernes bord, eller udlevere chokoladebarer mod deres løfte om aldrig at dele deres password med nogen. Kun fantasien sætter grænser, og det behøver ikke være særligt dyrt.
  • Beskeder med gode råd - Mails, der kort beskriver et problemområde og hvordan medarbejderen skal agere.
  • Opslag på intranettet - Igen: gør det kort og brugbart. Når opslaget er læst færdigt skal medarbejderen vide præcist hvad han (ikke) skal gøre og hvorfor det er vigtigt.
  • Plakater i kantinen - Plakaterne gør medarbejderne opmærksomme på kampagnen og får dem (forhåbentligt) til at tale om, hvorfor it-sikkerhed er vigtigt.
  • Morgenmøder - Er alle samlet til det ugentlige morgen- eller fredagsmøde kan du prøve at skaffe dig noget taletid her.
  • Quizzer - En quiz har den fordel at den kan engagere deltagerne. Sæt lidt vin eller chokolade på højkant til den medarbejder eller afdeling, der klarer sig bedst.

En quiz kan desuden synliggøre over for ledelsen, at din awareness-kampagne har fået fat i folk. Sæt dig et realistisk mål. Hvis halvdelen af alle medarbejdere tager quizzen, har du gjort et godt stykke arbejde! En quiz gør det også tydeligt på hvilke områder du skal gøre mere for at uddanne medarbejderne.

Så kan du gøre it-sikkerhed sexet? Du kan i hvert fald komme langt, når du gør det tilgængeligt, relevant og spændende.

Der findes mange programmer til at lave quizzer. Med det nye Quiz-modul i SecureAware fra Neupart får du ikke kun muligheden for at skrive dine egne spørgsmål og svar samt følge med i, hvor mange der har svaret (rigtigt). Du får også et helt bibliotek af spørgsmål/svar om it-sikkerhed, som du kan plukke fra. Derved sikrer du effektivt medarbejdernes kendskab til relevante politikker og regler samt eventuel efterlevelse af standarder, ex ISO 27001. Læs mere her


Øvrige ressourcer





Om forfatteren: Lone Forland er produktspecialist hos Neupart og underviser bl.a. i awareness-kampagner. Lone Forland hjælper desuden Neuparts kunder godt i gang med Neuparts ISMS-værktøj SecureAware, og er bindeled mellem kunder og udviklingsafdeling.

Send en kommentar