En IT-sikkerhedspolitik kan være et effektivt værktøj i beskyttelsen mod cyber-kriminalitet. Men det kræver, at den er skrevet i et sprog som medarbejderne forstår, ellers er den ligegyldig.
Dårlig forståelse giver dårlig beskyttelse
Jeg vil vove den påstand at langt de fleste sikkerhedsbrud, som skyldes medarbejdere, kunne have været undgået hvis de havde læst og forstået IT-sikkerhedspolitikken. Erfaringen viser at medarbejderne faktisk gerne vil lære at beskytte sig selv og virksomheden men ofte ikke ved hvordan.
Jeg har læst mange IT-sikkerhedspolitikker
Men er sjældent stødt på en, der er nem at forstå. Den giver måske mening for compliance specialister og IT-afdelingen, men de øvrige medarbejdere forstår simpelthen ikke indholdet - og så har den ingen værdi. Medarbejderne skal have en IT-sikkerhedspolitik, som de forstår og kan forholde sig til. Ligesom med medarbejderhåndbogen, der (ofte) er skrevet i et sprog som alle forstår.
Sådan kommer du i gang
Inden du kaster sig ud i at lave IT-sikkerhedspolitikken, skal du beslutte dig for hvilke områder, som skal med. Det kan f.eks. være regler for brug af USB-nøgler, e-mail sikkerhed, brug af Wi-Fi og fildelingstjenester (Dropbox osv.) for blot at nævne nogle få. Der er hjælp at hente i ISO27002 hvis du mangler inspiration.
Afsender bør være ledelsen
Hvis IT-sikkerhedspolitikken skal være effektiv bør afsenderen være ledelsen. Det giver den gennemslagskraft og viser at den er vigtig for virksomheden. Et forord skrevet af ledelsen (eller på vegne af ledelsen) er derfor vigtig.
Skriv så alle forstår det
Det er også vigtigt, at du skriver i et sprog som alle forstår - og undgå at bruge IT-forkortelser og indforståede ord. Skriv ikke "device" men i stedet mobiltelefon, tablet og computer, USB-nøgle i stedet for “USB-key”, fjernskrivebord i stedet for ”remote desktop”osv.
Vær konsistent
Husk at være konsistent, så tingene hedder det samme igennem hele IT-sikkerhedspolitikken. Bruger du f.eks. ordet Wi-Fi, så lad være med pludseligt at kalde det trådløst netværk eller hotspot. Det skaber forvirring.
Lav den ikke for lang
Undgå at IT-sikkerhedspolitikken bliver for lang. Del dine budskaber op i små bidder og hold dem så korte og forklarende som muligt. Det er ikke en bog du skriver men et “læs-let” dokument.
Lav en ordforklaring
Selvom du gør alt for at skrive i et sprog, som alle forstår vil der altid være ord og forkortelser, som kræver en forklaring. Det kan f.eks. være malware, ransomware, VPN osv. Lav derfor en ordforklaring som medarbejderne kan slå op i hvis de er i tvivl.
Test politikken
Et gammelt mundheld siger: "Ét er et søkort at forstå, et andet skib at føre." Med det menes, at ét er teori, og noget andet er praksis. Derfor er det vigtigt at du tester politikken på en eller flere medarbejdere. Vælg dem som har sværest ved IT. Hvis de forstår politikken, så har du ramt plet. Ellers må du skrive de afsnit om som de ikke forstår.
Ud i virksomheden
Når IT-sikkerhedspolitikken er færdig skal den "ud over rampen". Husk, at hvis ikke den bliver læst, så har den ingen værdi. Medarbejderne skal vide hvor den er og hvad der står i den. Gennemgå den f.eks. på et fællesmøde og lav efterfølgende en online test, som alle skal bestå. På den måde sikrer du, at alle kender reglerne.
“Hånd i hånd” med awareness
IT-sikkerhedspolitikken bør gå “hånd i hånd” med awareness træning. Den kan f.eks. være en Integreret del af undervisning i IT-sikkerhed, så medarbejderne lærer om virksomhedens regler samtidig med at de lærer om generel IT-sikkerhed.
Værd at overveje
Et flot og farvestrålende dokument er mere læsevenligt end et standard Word-dokument. Overvej derfor at få opsat politikken grafisk f.eks. med billeder eller illustrationer, der understøtter indholdet. Det har langt større effekt end du tror.
Og husk at politikken løbende bør opdateres, så den omfatter det aktuelle trusselsbillede.
Om e-ducators og IT-sikkerhedspolitik
Vi tilbyder at hjælpe med at udarbejde jeres nye IT-sikkerhedspolitik. Vi kan både arbejde ud fra en eksisterende politik, der f.eks. trænger til en opdatering, eller lave en helt ny.
Vi arbejder ud fra det anerkendte ISO 27002 rammenetværk for informationssikkerhed.