Publicerad 30 september 2013

Anställda största säkerhetsrisken

De flesta organisationer satsar stora resurser på säkerhet för att undvika att viktig information läcker ut. Men enligt en ny studie är det ofta de anställda själva som utgör den största säkerhetsrisken.

– Man väljer att medvetet bryta mot informationssäkerheten för att bli klar med en arbetsuppgift, säger Miranda Kajtazi.

I sin doktorsavhandling i informatik vid Linnéuniversitetet, har hon undersökt fenomenet. I studien ingår 639 anställda, från ledning till tjänstemän, främst inom bank-, läkemedels- och IT-branschen. Studien visar att när de anställda engagerar sig i en uppgift vill de slutföra den, även om det kräver att de exponerar en del konfidentiell information

– Den anställde begår hellre brott mot datasäkerhetspolicyn för att bli klar med en arbetsuppgift, än att framstå som en förlorare för kollegorna. De är medvetna om att de bryter mot informationssäkerhetspolicyn, men engagemanget minskar uppfattningen om eventuella risker med en sådan kränkning. Att de kan förlora sitt jobb blir mindre viktigt, säger Miranda Kajtazi.

Medvetenheten om de anställdas riskbeteende är låg inom organisationerna, enligt Miranda Kajtazi.

– Företag och organisationer måste bli medvetna om problematiken och ta den på allvar, säger hon.

Miranda Kajtazi är själv förvånad över vilka risker de anställda medvetet tar.

– Att man hellre väljer att begå brott mot informationssäkerhetspolicyn än att riskera en förlust framför kollegorna, visar att anställda prioriterar personliga förmåner framför vad som är fördelaktigt för företaget.

Så kan arbetsgivaren öka informationssäkerheten:

  • Satsa på utbildning i informationssäkerhet för både anställda och ledning.
  • Håll organisationens informationspolicy aktuell - var tydlig med att informera regelbundet om regler och säkerhet.
  • Informera och utbilda de anställda om bristerna i människans natur – och om vad som händer när man står inför en viktig och utmanande uppgift.
  • Se till att organisationen har en positiv acceptans för att uppgifter och projekt inte blir slutförda på bekostnad av bristande säkerhetsbeteende.
  • Uppmuntra till större öppenhet kring riskerna kring bristande säkerhetsbeteende.
  • Minska möjligheten för brott genom att dra ner på individuellt utförda arbetsuppgifter som utnyttjar sekretessbelagda uppgifter och satsa på större kollegial kontroll.

Margaretha Eldh

Taggar: Säkerhet

    • / 09:29, 15 oktober 2014
    • / Anmäld

    Det är ofta så att såkerhetspolicy och basala utbildningar ofta är det som de anställda får när det gäller informationssäkerhet. Sedan anser man sig ha löst det mesta. Tyvärr krävs det ofta mer av tekniska lösningar och kontrollmekanismer. Dessa anses ofta kostnadsdrivande och därför införs de inte. Det är tyvärr naivt att förvänta sig att folk ska följa regler som ofta är kontraproduktiva. Det lönar sig tyvärr 9 gånger av 10 att inte följa reglerna om det gagnar ekonomiska mål. Verkligheten är bister men man lär sig efter ett tag att det bland chefer även inom säkerhetsavdelningen att även de ser mellan fingrarna om felen begås medvetet och högt uppe i organisationer och förvaltningar.