Människan fortfarande opatchad och sårbar
Publicerades 2014-01-22 i Computer Sweden.
Krönika Det är dags att patcha, det vill säga utbilda, våra medarbetare i säkerhetskompetens på samma sätta som vi lägger resurser på it-infrastrukturen. Det hävdar Åsa Schwarz i sin krönika.
Säkerhet är ett av de snabbast växande områdena inom it. Hackerangrepp hamnar på löpsedlarna. Avlyssning är på allas läppar. Vi säkrar upp nätverk och system. Ingen vill bli angripen från nätet.
Men vi har glömt bort oss själv och vår mänsklighet. Den tekniska utvecklingen går i rasande fart samtidigt som utbildningen av våra medarbetare ibland är som på nittiotalet. Datorerna är patchade men vi är långt därifrån.
Enligt Enisas rapport skulle antalet it-incidenter minskas med hälften om användarna tog till sig några grundläggande säkerhetsåtgärder.
Jag tog en kopp te med Erik Södergren, som är kollega och säkherhetskonsult, och frågade honom om hur vi kan bli bättre:
– Vi måste få människor att ändra beteende. Det bästa sättet är att de förstår att säkerhet även påverkar dem personligen. Om en företagsdator får virus kommer någon från it-avdelningen och fixar det. Den egna datorn måste de rensa själva.
Ett bra utbildningsprogram pågår löpande, berör och är intressant. Vi har lättare att ta till oss bilder och film än text. Korta animerade filmer kan därför vara ett bra angreppssätt.
Men hur ska vi mäta resultatet? Även om någon kan svara rätt på frågor i ett frågeformulär vet vi inte om personen ändrat beteende. Om vi testar beteendet i sig, så kallad social engineering, hur ska vi göra det utan att våra medarbetare mår dåligt?
– Mätningar bör göras anonyma, säger Erik. Vi kan till exempel skicka ut phishing-mejl till alla anställda. De som klickar på länken, kommer till en sida där det står att detta är ett phishing-mail och hur man kan hantera dessa i framtiden. Det är både en bra övning för individen och företaget får en mätpunkt att jämföra med till nästa gång.
Hur ser din säkerhetsbudget ut? Hur mycket lägger du på människor, hur mycket lägger du på maskiner? Vad skulle minska incidenterna mest?
/Åsa Schwarz är säkerhetskonsult på Knowit.