Når du skal lære noe nytt, vil du sannsynligvis gjerne forstå hvorfor du skal bruke tid på å lære det, og hvordan det gagner deg. Det vil også de ansatte i en virksomhet som setter i gang nye sikkerhetstiltak. For å hjelpe alle til å se verdien av endringene, anbefaler vår ekspert i endringsledelse og cybersikkerhetsrådgiver Cicilie Hennig-Till, den såkalte ADKAR-modellen:
- Awareness (bevissthet)
- Desire (ønske)
- Knowledge (kunnskap)
- Ability (evne)
- Reinforcement (forsterkning)
– I mange virksomheter innebærer cybersikkerhetsarbeidet fortsatt at IT-avdelingen forsøker å lære opp enkeltansatte i at de ikke må klikke på lenker, ikke koble til ukjente USB-pinner – alle disse tingene vi har hørt en million ganger, men som vi likevel fortsetter å gjøre, sier Hennig-Till.
4. mai står hun på scenen på Norsis-konferansen Security Divas for å snakke om endringsledelse og cybersikkerhet.
– Hvorfor fortsetter vi å gjøre disse tingene vi vet vi ikke burde? Jo, fordi vi rett og slett har hoppet over de to første stegene i det som skaper endringsvilje: bevissthet og ønske. Vi må sørge for at de vi forsøker å få til å endre praksis, forstår hvorfor det er viktig – også for deres egen del.
Konkrete risikoer og konsekvenser
Endrings- og cybersikkerhetsrådgiveren mener at man må starte fra toppen i organisasjonen med å jobbe med de to første bokstavene i ADKAR-modellen – Awareness og Desire.
– Noen ledergrupper tenker at det holder med litt opplæring én gang i året for de ansatte, og er ikke klare for å investere i verktøy som gjør det lettere for IT-avdelingen å drive mer kontinuerlig holdningsarbeid, sier hun.
Hennig-Till tror den beste strategien for å øke forståelsen for behovet i slike tilfeller, er å gi helt konkret og målrettet kunnskap om hva som kan være konsekvensene for virksomhetene ved sikkerhetsbrudd.
– Det holder ikke med generelle og vage advarsler om å tape penger og omdømme. Man må klare å se for seg helt konkrete risikoer og konsekvenser for å få et reelt ønske om å endre praksis.
Ransomware og fysisk sikring
Hennig-Till har flere verktøy som kan skape bevissthet og ønske om endring hos både toppledelsen og de øvrige ansatte i virksomheter. Hun deler tre konkrete tiltak virksomheten kan gjennomføre:
1) En samtaleøvelse for toppledelsen om ransomware. Hvis virksomheten blir infisert med ransomware, er det flere problemstillinger ledelsen må ta stilling til. I en slik øvelse er ikke hensikten at de skal komme med svarene, men at de skal forstå at dette er problemstillinger de ikke har nok informasjon om og som de må lære mer om.
2) En test av hvordan fremmede i lokalene blir håndtert – enten gjennomført av en profesjonell, eller en kollega fra en annen bedrift. Er det lett å komme seg inn gjennom låst hoveddør? Hvor lenge kan man bevege seg fritt i lokalene uten at noen reagerer? Hvor mange ulåste PCer ser man rundt seg når man går? Funnene fra testen kan legges fram for ledelsen, og viser tydelig behovene og risikoen i virksomheten.
3) En phishingtest hvor brukerne må melde fra om phishingforsøk. Det kan være med på å øke bevisstheten hos de ansatte over hvor enkelt det er å gå på limpinnen. Manglende meldinger om phishingforsøk, eller hvor mange ansatte som går i fella for phishing, også er god informasjon å presentere for ledelsen.
Les mer: Slik forhindrer du phishing, smishing og vishing.
Skremselstaktikk
Hennig-Till tror også det er lurt med litt god, gammeldags skremselstaktikk, ved å fortelle om hvordan hackere bruker tilsynelatende ufarlig informasjon til å tilegne seg mer sensitiv informasjon.
– Veldig ofte forteller vi folk bare hva de skal eller ikke skal gjøre, men forklarer ikke godt nok hvorfor. Det gjør at vurderingsevnen og motivasjonen til å følge anbefalingene blir veldig liten.
– Det er først når de forstår «what’s in it for me» at de er motivert for å lære, og det er da vi får et godt læringsutbytte, oppsummerer Hennig-Till.
