”Allt som krävs är ett klick.”
Detta berättade IT-säkerhetsexperten och författaren Magnus Carling i vårt webbseminarium på ämnet ’Hur ökar vi medvetenheten om cyberhot?’. Som ett exempel tog han upp den incident när myndigheterna i Australien läckte passuppgifter om Obama, Merkel, Cameron, Modi och så vidare. Boven i dramat? Ett mänskligt misstag i form av ett klick. Någon hade råkat använda sig av Outlooks autofyll-funktion och vips! En dataläcka hade skett.
”Det är bara ett klick som krävs för att vi ska sänka vårt nätverk eller läcka enorma mängder information” utvecklar Magnus.
Att förhindra dataläckor handlar till stor del om att öka medvetenheten kring problemet. Var börjar man då i detta evighetsarbete som är utbildning inom säkerhet?
Magnus ger oss 5 konkreta tips.
1. Identifiera vem som vill komma åt era data
”De flesta företag idag vet inte värdet på sin information och alla sina informationstillgångar.”
Vet du vad värdet av era data är? Vet du vilka era ”kronjuveler” är, som Magnus kallar det? Den där datan som är mer eller mindre ovärderlig och som i fel händer kan kosta er dyrt.
Steg ett i frågan medvetenhet gäller att identifiera vilken information som är viktig för ditt företag. De som vill åt er data blir nämligen bara bättre och fler i antal.
2. Var otroligt envis
”Det gäller att utbilda alla.”
Att utbilda er organisation är ett evighetsjobb – det tar aldrig slut. Detta eftersom hela organisation måste utbildas fortgående. Magnus menar dessutom att ledningen måste bearbetas ännu mer än resten av personalen eftersom de behöver leda med exempel.
Det är en sak att ledningen säger att de stöttar dig i ditt säkerhetsarbete och en helt annan att de faktiskt gör rätt saker. Detta eftersom mer säkerhet alltid innebär att det blir viss friktion. Magnus tar upp säkerhetskontrollen på en flygplats som ett exempel.
För några år sedan kunde du gå på ett flygplan ungefär som du går på en buss, medan du idag måste gå igenom en ordentlig säkerhetskontroll. Folk accepterar det dock eftersom de förstår varför de behöver göra det. Det är precis samma sak när det kommer till cybersäkerhet och det är därför det är så viktigt att få med ledningen. För följer inte dem reglerna, varför ska alla andra göra det?
3. Använd riktiga exempel
”Människor vill höra om människor.”
Använd verkliga exempel när du utbildar. Det är mycket mer intressant att höra om en annan människa än om potentiella, ansiktslösa scenarier. Försök dessutom att använda exempel som ligger nära dig – detta kan vara exempel från samma industri som du är verksam inom, exempel från Sverige eller exempel som använder samma kommunikationsmedel som ni gör inom er verksamhet.
Försök också att tänka brett. Tänk på allt som kan hända. Det räcker inte med brandväggar och antivirus om tjuvar kan lura människor att släppa in dem. Man måste jobba scenariobaserat och se hur dessa kan beröra er som organisation.
4. Använd inte 'inte'
Detta är en liten, men ack så viktig detalj. Magnus menar att det är viktigt att skapa en positiv känsla när du utbildar. I hans erfarenhet älskar människor att berätta. Använd därför fraser som ”Hjälp oss att…” eller ”Prata med dina kollegor om...”
Magnus sista punkt inom detta ska du heller inte glömma bort: Beröm dina kollegor som gör rätt! Tänk även på att utbildningen ska vara rolig – måste man tvinga sig igenom den är det inte givande.
5. Gör det lätt att göra rätt
Glöm inte bort att göra säkerhet lätt för dina kollegor. Det lättaste sättet att undvika att folk stjäl era lösenord är till exempel genom att använda tvåfaktorautentisering (2FA).
Det ska vara enkelt för användarna att följa utsatta regler, annars kan ni räkna med att de inte kommer att göra det. Magnus menar om du till exempel har långa lösenord som policy, kommer dina kollegor att skriva ner det. Vi gör det som är enkelt för oss. Om inte verktygen vi har är lätta att använda, då kommer det inte att fungera.
Använd teknik, men använd teknik som underlättar allas vardag!
Missade du webbseminariet? Ingen fara! Den ligger nu tillgänglig online. Se den via länken nedan.