Sikkerhet vs. brukervennlighet – balansegangen som driver oss brukere til vanvidd

Enten bedriften du jobber i, har sin egen IT-avdeling eller driften er overlatt til en ekstern IT-tjenesteleverandør, er trade-offen fremdeles den samme dersom dine daglige kompanjonger er en skjerm og et tastatur; Den tiden det tar å logge på om morgenen kunne vært brukt på så mye annet…. Og hvorfor kan ikke Java, Windows, Adobe og andre oppdateringer og sikkerhetsprosedyrer skeduleres til å kjøre når maskinen ikke er i bruk? Og hva er egentlig diskkryptering, og er det virkelig nødvendig?

Det finnes ingen enkle svar på problemstillingen ovenfor, men det finnes mange overkommelige måter å styre både brukere og sikkerhetsansvarlige mot en hyggeligere balansegang mellom sikkerhet og brukervennlighet.

Mange bedrifter synes i dag å ha en oppfatning om at en større prosentandel av deres interne informasjon må beskyttes i form av høyteknologiske sikkerhetsmekanismer, uten at det er blitt utført analyser med resultater som peker i den retning. En god tommelfingerregel bør være å gjennomføre risikoanalyser i forkant (Strategi basert på magefølelse?) av at sikkerhetsstrategien blir lagt (dersom man i det hele tatt bruker tid på en sikkerhetsstrategi). En risikoanalyse luker ofte ut unødvendige sikkerhetstiltak og kan også belyse områder der tiltakene mangler i stor grad.

Så var det oss brukere da! Det er en kjensgjerning, som Synve R. Fossum skriver i sin blogg (Brukervennlighet vs. sikkerhet – en unyttig kamp), at vi mennesker tilpasser oss situasjoner med enkelthet. I stedet for å slåss i passordjungelen og svare på uforståelige spørsmål om oppdateringer, finner vi snarveier rundt «tidstyven» som bringer oss enklere og mindre sikkert til målet.

Mange sikkerhetstiltak kan enkelt dekkes av generelle sikkerhetsrutiner og god intern «sikkerhetsoppdragelse». Det er nemlig ikke ok å ta med seg minnepinner, PC og telefon fylt av arbeids-e-post på byen for dernest å glemme det under festens høydepunkt med 2 i promille. Dette, sier du, burde bedriftens ansatte allerede vite, men mange praktiserer allikevel dette regelmessig. Noe så enkelt som etablering av «de ti sikkerhetsbud» internt er en god start på å sette en stopper for den type praksis. I tillegg må selvsagt holdningsskapende arbeid implementeres, sammen med gode, gammeldagse konsekvenser dersom man allikevel klarer å forlegge bedriftens informasjon på et uheldig sted.

Tiltakene som er beskrevet over er basert på ny informasjon fra Næringslivets Sikkerhetsråds Mørketallundersøkelse for 2012 (ref. Computerworld – Mørketall 2012), som viser at tap av minnepinner og feilsending av e-post var primære årsaker til informasjon på avveie i fjor.

Min konklusjon er at vi kommer til å måtte leve med dette dilemmaet i enda flere år. Mens vi gjør det, kanskje det er en god idé at sikkerhetsansvarlige begynner å kommunisere forståelig til sine brukere om HVORFOR sikkerhetstiltakene i bedriften er implementert, samtidig som brukerne får en rask og informativ innføring i hvorfor man bør låse skjermen sin før man går fra pulten og hvorfor det av og til er riktig og viktig å kryptere disken på en datamaskin. Hva slags sikkerhetsrutiner har du internt og har du gjort dem brukervennlige nok?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

Du kan bruke disse HTML-kodene og -egenskapene: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>