Menneskelige fejl er stadig den største sikkerhedsrisiko

Menneskelige fejl udgør stadig den største sikkerhedsrisiko for virksomheder, selv med den bedste teknologi på plads. Vores erfaring viser, at stærk it-sikkerhed bygger på medarbejdernes daglige adfærd og opmærksomhed mere end på software og hardware alene. Vi ser, at de virksomheder, der arbejder aktivt med kultur, træning og tydelig ledelse, styrker deres sikkerhed langt hurtigere end dem, der kun investerer i tekniske løsninger.

Key takeaways

• Rutiner, travlhed og vanetænkning øger risikoen for fejl som klik på phishing-links eller brug af svage adgangskoder. Vi anbefaler, at virksomheder kortlægger typiske arbejdsgange og identificerer situationer, hvor medarbejdere oftest træffer hurtige beslutninger uden at tænke sig om.
• Awareness træning med praksisnære eksempler reducerer menneskelige fejl markant og gør det lettere for medarbejdere at handle sikkert. Vi arbejder derfor med realistiske scenarier, korte træningsforløb og gentagne øvelser, så sikker adfærd bliver en naturlig refleks i hverdagen.
• Ledelsen spiller en vigtig rolle ved at gøre it-sikkerhed til en naturlig del af hverdagen og anerkende god adfærd. Vi anbefaler, at chefer viser vejen, følger de samme retningslinjer som resten af organisationen og aktivt roser medarbejdere, der reagerer korrekt på fx phishing-forsøg.
• Almindelige fejl som genbrug af adgangskoder og manglende låsning af computere kan minimeres med enkle værktøjer og en åben kultur. Vi foreslår brug af password managers, multifaktorgodkendelse, automatiske låseskærme og klare retningslinjer, som alle kender og tør spørge ind til.
• Et trygt arbejdsmiljø med fokus på løbende læring og feedback forebygger, at små fejl udvikler sig til større sikkerhedsbrud. Vi opfordrer virksomheder til at behandle fejl som læring, dele hændelser anonymt, og skabe korte, faste rutiner for opfølgning, så organisationen hele tiden bliver lidt stærkere.

10. Når teknik ikke er nok, adfærd hos IT sikkerhed medarbejdere

Selv med de mest avancerede systemer er vi ikke immune over for fejl, der opstår på grund af medarbejderes handlinger. Mange cyberkriminelle retter faktisk deres angreb direkte mod ansatte, fordi de ved, at mennesker er mere påvirkelige end maskiner.

Adfærdens betydning for IT sikkerhed

Det er vigtigt at forstå, hvordan hverdagens arbejdspres og rutiner påvirker sikkerheden:

• Rutiner og vanetænkning fører ofte til, at man klikker på links eller åbner vedhæftede filer uden at tænke sig om. Cyberkriminelle udnytter netop disse vaner og sender veludformede mails, der ligner almindelige henvendelser.
• Når tempoet er højt, og beslutninger skal træffes hurtigt, glipper opmærksomheden let. Mange databrud starter med én fejl. Et øjebliks uopmærksomhed er nok til at kompromittere virksomhedens data.
• Overbevisende phishing-angreb rammer især ansatte, som ikke er vant til at stille spørgsmålstegn ved henvendelser. For eksempel viser erfaringerne fra hackerangreb, at simple tricks stadig virker, fordi de spiller på medarbejderes naturlige hjælpsomhed eller frygt for at begå fejl.
• Mangel på awareness er fortsat en af de største risikofaktorer. Cybersikkerhedsuddannelser gør en markant forskel, men kræver vedligeholdelse og opmærksomhed fra både ledelse og medarbejdere.

Vores erfaring er klar: Man kan ikke isolere sig ud af problemerne med software eller hardware alene. Den vigtigste sikkerhedsfaktor er stadig mennesket. Gør du det let for dine medarbejdere at følge gode sikkerhedsvaner, reducerer du risikoen for kompromittering betydeligt. Hos os prioriterer vi både god oplæring og en åben dialog om risikoen for menneskelige fejl. Læs mere om vores tilgang til IT sikkerhed, hvor vi arbejder målrettet med at minimere de adfærdsmæssige risici i din organisation.

Awareness træning er afgørende for at minimere menneskelige fejl

Awareness træning fungerer som virksomhedens digitale sikkerhedsnet. Erfaring viser, at grundig oplæring ikke bare udsætter fejl for det blotte øje, men også gør medarbejdere langt bedre til at tænke sig om, før de klikker på det forkerte link eller sender fortrolige oplysninger ud i cyberspace.

Med praksisnære eksempler får vi træningen til at ramme lige dér, hvor den giver mening. Det handler ikke om abstrakt teori, men om konkrete situationer, vores kollegaer møder til dagligt. Derfor bør awareness træning integreres i medarbejdernes rutiner og løbende opdateres, så både nye og erfarne ansatte får det fulde udbytte.

Sådan styrker løbende awareness træning it-sikkerheden

Vi anbefaler løbende awareness træning, fordi de fleste fejl sker, når opmærksomheden svigter. Nedenfor ser du, hvordan et effektivt awareness-program kan gøre en reel forskel:

• Medarbejdere bliver opmærksomme på phishing-mails og social engineering, før skaden sker
• Gode programmer kan halvere antallet af klik på skadelige links
• Risikoen for fejleksponeringer af persondata og forretningskritiske informationer kan falde med op til 70 procent
• Relevante, virkelighedsnære cases får alle medarbejdere med, uanset teknisk niveau
• Det bliver lettere at indrapportere mistænkelig adfærd hurtigt

Træning skal altid være tilpasset de arbejdsopgaver, vores teams sidder med. Derfor opfordrer vi til, at awareness træning ikke er noget, der bare afvikles én gang om året. Det skal være en integreret del af hverdagen. Ønsker du konkrete tips, anbefaler vi vores webinar om at gøre virksomheden sværere at hacke for inspiration til arbejdet med awareness.

Er din virksomhed på udkig efter mere om it-sikkerhed og ønsker et stærkt udgangspunkt for at minimere menneskelige fejl, kan en gennemarbejdet awareness-træning være første skridt.

Sådan motiverer du til adfærdsændring omkring IT sikkerhed medarbejdere

Gør IT sikkerhed nærværende og nemt for medarbejderne

For at skabe ægte adfærdsændringer skal vi gøre det nemt for medarbejdere at tage de rigtige valg. Mange tror, at trusler og skældud skaber sikkerhed, men i praksis virker det bedre at bygge tryghed og engagement. Sikkerhed træder i kraft, når den opleves som relevant for den enkelte.

Vi anbefaler at koble træning og beskeder sammen med dagligdagens udfordringer. For eksempel kan vi tale om, hvordan et hackerangreb faktisk kan ramme både firmaet og medarbejdernes private liv.

Desuden bør vores awareness træning ikke være lange, kedelige kurser. Små, konkrete læringsbidder – måske en hurtig e-mail quiz eller små videoer – gør det let at tage det næste skridt og ændre adfærd.

Vis som ledelse at IT sikkerhed er en naturlig del af hverdagen

Når ledelsen går forrest og viser, at IT sikkerhed er lige så naturligt som at låse døren, smitter det af på medarbejderne. Det handler ikke om skræmmekampagner, men om at gøre sikkerhed til en integreret del af vores hverdag. Her er måder, du som leder kan vise vejen:

• Inddrag sikkerhed i møder og hverdagssnakke, ikke kun i krisesituationer.
• Deltag i de samme kurser eller awareness træning som medarbejderne.
• Brug eksempler fra både arbejds- og privatlivet for at gøre risikoen nærværende.
• Anerkend og ro medarbejdere, når de gør noget rigtigt – det styrker kulturen.

Regelmæssig positiv opmærksomhed har langt større effekt på motivationen end kritik, når der sker fejl. Du kan få flere håndgribelige råd om at skabe en sikkerhedskultur i vores guide om IT sikkerhed.

Med et fokus på adfærd fremfor teknik rykker vi sikkert i den rigtige retning – uanset om vi har it-kyndige superbrugere eller helt almindelige medarbejdere med om bord.

Almindelige fejltyper og hvordan de kan undgås

De mest udbredte menneskelige fejl og deres årsager

Mange sikkerhedsbrud skyldes helt almindelige menneskelige fejl. Vi ser ofte svage adgangskoder, som let kan gættes, eller at kollegaer klikker på usikre links og åbner vedhæftede filer fra ukendte afsendere. Når tempoet er højt og opgaverne mange, bliver vi nemt uopmærksomme. Det er især her, fejlene opstår. Derfor handler god sikkerhed også om simple men effektive rutiner og at værne om sunde vaner i hverdagen.

Her er nogle af de mest hyppige fejl, vi typisk møder:

• Anvendelse af samme adgangskode flere steder
• Uopmærksomhed i forbindelse med phishing-mails og vedhæftede filer
• Manglende låsning af computer, når man forlader sin arbejdsplads
• Overladelse af adgangskoder til kollegaer eller eksterne

Sådan styrker vi sikkerheden blandt medarbejdere

Vi anbefaler at indføre simple værktøjer og belønne god adfærd for at minimere risikoen for fejl. Fælles indsats gør det lettere for alle at handle sikkert, også når hverdagen er travl.

For at gøre det let for medarbejdere at vælge sikre løsninger kan vi eksempelvis:

• Bruge en password-manager, så ingen behøver huske eller genbruge adgangskoder. Hvis ønsket, kan du høre mere om, hvordan du kan gå fra password-kaos til fuld kontrol.
• Aktivere to-faktor-godkendelse på tværs af systemer.
• Sørge for løbende information om de nyeste trusler, fx opfordre til deltagelse i relevante webinarer med konkrete råd om cybersikkerhed.
• Skabe rammer, hvor det er naturligt at give feedback og anerkendelse, når kolleger handler sikkert.

Et arbejdsmiljø hvor det er ok at spørge om hjælp eller fortælle om usikkerheder, mindsker risikoen for, at små fejl bliver til store problemer. Vi engagerer medarbejdere og styrker sikkerhedskulturen, så er det langt lettere at gribe ind, før fejl udvikler sig til et egentlig hackerangreb.

Kilder:
DBI: Menneskelige fejl er stadig den største sikkerhedsrisiko
IBM: Cost of a Data Breach Report