Cases

Sådan skaber Mads awareness om IT-sikkerhed hos DTU Biosustain

Skrevet af Anders Bryde Thornild | 10-05-2022 07:39:43

Det er næsten liv eller død for DTU Biosustain at have styr på deres IT-sikkerhed. De forsker i emner, der potentielt kan ændre verden. Det betyder, at de har en skydeskive på ryggen, da mange hackere gerne vil have fat i deres viden og data. Mads har fået ansvaret for at sikre, at det ikke sker. Han skal sikre, at de som organisation er beskyttede. Vi har taget en snak med Mads for at høre hans tanker om IT-sikkerhed, awareness, og hvordan han har skabt en stop-motion film om phishing med en dansende Donald Trump. Hvis du er mest interesseret i, hvordan DTU Biosustain har gjort brug af vores awareness træning, så kan du hoppe direkte dertil ved at klikke her.

Du kan også se highlights fra vores interview med Mads lige her

Hvem er DTU Biosustain

    • DTU Biosustain er et forskningscenter, der hører under DTU, det danske tekniske universitet.

    • De er 300 ansatte fra 40 forskellige nationaliteter.

    • De forsker i: Sustainable chemicals, Natural products & Microbial food

Hvem er Mads?

Mads er ansvarlig for IT hos DTU Biosustain. Han er uddannet på RUC, hvor han har læst virksomhedsledelse og datalogi. Det giver ham både en forståelse for IT og mennesker, hvilket er brugbart som IT-chef.

  • Mads Gleerup Christensen 
  • Head of IT 
  • BSc from RUC 

Indholdsfortegnelse

 

DTU Biosustain er et forskningscenter på DTU

DTU er Danmarks Tekniske Universitet. De har mere end 6000 medarbejdere på tværs af forskellige forskningscentre og institutter. Vi har snakket med Mads, som er IT-chef for DTU Biosustain, som er et af disse forskningscentre. DTU Biosustain har 300 medarbejdere. De er finansieret af Novo Nordisk og forsker bl.a. i sustainable chemicals ved hjælp af genmodifikation. DTU Biosustain har deres egen IT-sikkerhed, selvom de selvfølgelig samarbejder med hele DTU.

IT-sikkerheds-teamet hos DTU Biosustain

Mads er, som nævnt, IT-chef hos DTU Biosustain. Mads har en bachelor fra RUC i virksomhedsledelse og datalogi. Han var ikke glad for at kode, men det gav ham en forståelse for IT, som han kunne kombinere med de menneskelige aspekter i virksomhedskulturer. Hos DTU Biosustain har Mads et hold, der hjælper ham med IT-sikkerheden. IT-holder er fire medarbejdere inklusiv Mads selv. Tre på fuld tid og en studentermedhjælper. Mads er også ansvarlig for IT i et andet DTU institut med samme setup, men i dette interview fokuserer vi på hans arbejde for DTU Biosustain. Her forsøger han at skabe awareness om IT-sikkerhed.

Hvorfor er IT-sikkerhed vigtigt?

IT-sikkerhed er vigtigt for alle virksomheder, men for et center som DTU Biosustain, er det altafgørende. Mads fortæller, at de formentlig slet ikke ville eksistere i dag, hvis de ikke havde fokus på sikkerheden:

”Vi ville se helt anderledes ud, hvis vi ikke arbejdede med det overhovedet. Jeg tror ikke, at vi ville eksistere. Vi ser universiteter blive angrebet i hobetal og også biotech-virksomheder, som vi arbejder sammen. Vi blev selv lige ramt for nylig. Jeg vil sige, at kun en årvågen medarbejder sørgede for, at vi ikke alle sammen havde meget røde ører i meget lang tid."

Universiteter har meget data, der skal beskyttes.

”Vi er et center, der har mulighed for at hyre nogen af de allerbedste forskere fra hele verdenen. Deres forskning og den teknologi, de benytter, er banebrydende. Vi kan ikke have, at deres arbejde ryger i de forkerte hænder, eller at vi spilder forskernes tid, fordi vores sikkerhed ikke er i top. Så IT-sikkerhed er et kæmpe fokus.”

Netop fordi DTU Biosustain sidder med den nyeste forskning, er de et stort mål for hackere. Deres data og viden har en kæmpestor værdi. Derfor er det også kun naturligt, at centret fokuserer på IT-sikkerhed.

Hvor kommer truslen fra?

I dag bliver alle virksomheder ramt af angreb, da mange hacker-angreb er automatiserede og ikke går efter nogle specifikke virksomheder. Vi ser dog også, at der er en masse mere målrettede angreb, når det giver mening for de IT-kriminelle. Det giver ofte mening, når det kommer til DTU Biosustain. Mads siger, at de hos DTU Biosustain frygter både regeringer, hackere og meget mere:

”Realiteten er, at vi er særligt opmærksomme på internationale IT-kriminelle. Realiteten er, at hver gang vores kollegaer kommer hjem fra konferencer i udlandet, må vi rense deres computere. De bliver formateret i en sandbox lige så snart, de kommer hjem. Vi ved at lige så snart, de bruger den på et konferencested, får den noget malware. Det er jo forfærdeligt at tænke på, at det er sådan, det er.”

DTU Biosustain skal være meget opmærksomme på hver enkel computer.

”Vi bliver i den grad nødt til at holde styr på, hvem der tager på konferencer og den slags. Det er vigtigt, at folk også selv er klar over, at det er sådan virkeligheden er. Vi er nødt til at gøre folk opmærksomme på det.”

De her typer angreb gør det tydeligt, at IT-sikkerhed ikke kun handler om teknik for DTU Biosustain, men at det i lige så høj grad handler om medarbejderne og deres adfærd.

Det er en stor udfordring at være et universitet

Da DTU er et universitet, har Mads som IT-ansvarlig nogle udfordringer, som mange andre virksomheder ikke står overfor. Det betyder nemlig, at mange mennesker går ind og ud af bygningerne hver eneste dag.

”For eksempel Novo Nordisk har et utroligt højt sikkerhedsniveau, hvor folk slet ikke kan installere noget selv på deres computere eller har adgang til noget som helst andet, end lige præcis det de skal. Vi er et universitet, hvor der er fri adgang til at kunne gå ind i alle bygninger fra gaden. Man behøver ikke at have et adgangsbevis i dagtimerne. På samme måde er vores intranet og meget af vores infrastruktur bygget op om, at der er rimelig adgang til ret meget. Men det er sådan en åben-sindethed man har, som er lidt i konflikt med IT-sikkerheden, og det er en balance. ”

DTU Biosustain har mange brugere hver dag, som skal have adgang til alt muligt. Det gør det svært at beskytte centrets systemer og gør det endnu mere vigtigt, at alle brugere og medarbejdere er opmærksomme.

Tekniske løsninger og awareness træning går hånd i hånd

Historisk set er IT-sikkerhed blevet set som en opgave udelukkende for IT-afdelingen. IT-sikkerhed handlede tidligere om at have en god IT-infrastruktur, stærke firewalls, anti-virus-systemer og alle andre former for tekniske foranstaltninger, som man kunne finde. Det er på mange måder stadig sådan i dag, men det tekniske er bare ikke den eneste opgave i IT-sikkerhed mere. Alle bruger flere og flere devices i hverdagen, og det betyder, at alle er blevet en del af IT-sikkerheden. Denne virkelighed peger Mads også på:  

“Vi køber alle de bedste systemer, der er. Dermed er det sjældent, at hackere får held med deres phishing- og hacker-angreb. Men… Der skal jo ikke mere til end en person, der klikker på en zip-fil og så kører malwaren. Eller en der giver sit username og password til ”Who-knows-who”, og så er vi i gang.”

DTU Biosustain bruger mange penge på tekniske løsninger, men det kan ikke stå alene. De bliver nødt til at uddanne deres medarbejdere.

”Vi kan have lige så mange gode systemer, som vi vil, men hvis ikke alle har samme basisniveau og kan skelne skidt fra kanel, hjælper det ikke meget.”

Lad os dykke ned i, hvordan DTU Biosustain uddanner og gør medarbejdere opmærksomme på IT-sikkerhed.

Sådan bruger DTU Biosustain awareness træning

DTU Biosustain har lavet flere initiativer for at skabe opmærksomhed omkring IT-sikkerhed hos deres medarbejdere. De bruger CyberPilots Awareness træning, de laver fysisk awareness, og så har Mads lavet en awareness-video om phishing. Vi dykker ned i alle 3 dele.

CyberPilot Awareness træning hos DTU Biosustain

Den første del af DTU Biosustains indsatser er CyberPilots awareness træning. Alle medarbejdere hos DTU Biosustain modtager kurser om GDPR og IT-sikkerhed hver anden måned for at skabe opmærksomhed om emner som phishing, passwords, persondata og meget mere. Nye medarbejdere modtager en pakke af kurser som en del af deres onboarding for at komme godt i gang.

Awareness-træningen er inkluderende og dømmer ikke

Ideen med awareness træningen er at gøre IT-sikkerhed til en del af hverdagen for medarbejdere og hæve bundniveauet for opmærksomhed og viden i virksomheden. Mads synes at awareness-træning fungerer godt.

”Generelt, synes jeg, at awareness-konceptet er helt genialt. Jeg vil tro, at mange af vores medarbejderes IT-kundskaber er under det niveau, som vi forventer. Det er rart for mig at se, at vi i IT-afdelingen kan hæve det niveau.”

Mads mener, at awareness-konceptet virker, men hvorfor valgte han CyberPilot blandt de mange udbydere?

”Det, som I laver, synes jeg, er godt. Det fortæller en historie. Det er ikke nedsættende, for det værste er, når folk føler sig talt ned til af IT-afdelingen. Det er, når de siger ’Jeg føler mig dum, når jeg kommer ned til jer og stiller det her spørgsmål, og I bare sidder og kigger på mig med jeres World of Warcraft hår’. Jeg vil gerne have, at alle føler sig velkomne. Det er rigtig fint, det I laver.”

Mads nævner, at niveauet i kurserne måske vil virke for lavt for nogle personer, men at dette ikke er et problem:

”For nogle, der allerede kender svarene, kan det godt være lidt for let. Det er dem, man taber, men deres niveau er allerede højt nok. For alle dem, der ikke har det niveau af viden, der tror jeg, at det rammer plet. Jeg har aldrig hørt noget negativt fra dem.”

Målet for os er netop at hæve bundniveauet i virksomheder, når det kommer til viden og opmærksomhed på IT-sikkerhed. Det handler ikke om at lære kompleks viden, men om at få en basal forståelse for de vigtigste emner.

Awareness-træningen har en tydelig effekt

En af udfordringerne ved digital træning og e-learning er at måle effekten af træningen. Vi elsker alle data, der tydeligt viser effekten af et tiltag, men det er svært at måle noget så fluffy og løst som IT-sikkerhedskultur og viden. Men, Mads mener helt sikkert, at træningen virker, selvom han ikke har tydelig data.

”Awareness virker! Det ved jeg uden at have nogen måling på det, og uden at have noget basis for det jeg siger, udover min fornemmelse.”

Senere i vores samtale viser det sig dog, at Mads faktisk har en form for måling til at understøtte sit udsagn. Det er dog mere kvalitativt end kvantitativt.

”Før i tiden fik jeg mails fra måske en enkelt person, der sagde ’Jeg har fået den her mail, og min ven og kollega har også fået den. Er der noget om det?’ Nu er det hver eneste gang, der er noget i omløb med en mail. Endda også, hvis det er en mail, der ser reel ud, som om den kommer fra en fra DTU, så skriver folk til mig: ’Det der vedkommende skriver, det virker mærkeligt. Er det endnu en af dem der, som vi bliver advaret imod af CyberPilot’”

De her oplevelser viser effekten af awareness-træningen. Mads har også andre eksempler på, hvordan hans eget arbejde som IT-chef er blevet lettere, da han ikke behøver, at gøre alle opmærksomme på alle phishingmails mere.

”Før i tiden skrev jeg også ud: ”Vi har den her mail i omløb”. Det behøver jeg slet ikke nu. Folk er godt klar over det.”

Det ser altså ud til, at awareness-træning virker.

Hvad med phishing-træning?

DTU Biosustain kørte også en enkel phishing-træning kampagne noget tid efter, de startede awareness-træningen. Det var brugbart, men Mads ville ønske, at de havde gjort det, før de modtog awareness-træning, så det kunne bruges som en baseline.

”Jeg fik hurtigt mails fra folk om, at ejeren af dette domæne er fra CyberPilot. Så de var hurtige til at lure det. Jeg ville ønske, at vi havde gjort det inden undervisningen, så det kunne være en baseline. Men det er et godt tegn, at de lurede det. Og jeg tror, at det er på grund af undervisningen. Det tror jeg.”

Det viser, hvordan phishing-træning kan blive brugt i samspil med undervisningen, da det netop kan bruges som en baseline for awareness-træningen. Phishing-træningen giver en nogle reelle tal for, hvordan ens virksomhed udvikler sig, når det kommer til at spotte phishing-mails.

Træningen kunne bruge lidt mere kant

Jeg spurgte også Mads, om han havde noget kritisk feedback til os, men han havde ikke mange negative pointer, bortset fra, at han på et personligt niveau savner lidt kant. Han forstår dog også, at awareness-træningen er for masserne.

”Det er en personlig præference. Det kan være, at 98 procent overhovedet ikke savner den kant, men hvis man havde lyst, så kunne man godt peppe det lidt op. Men jeg har jo heller ikke noget at tabe. Jeg kan højest blive fyret eller få lidt skæld-ud af min chef, hvis direktøren sagde, ”hvad fanden er det for noget”. I har også en virksomhed, hvor I skal sørge for ikke at støde nogen.”

Heldigvis kan man altid tage sagen i egen hånd, og det er præcis, hvad Mads har gjort. Han har lavet sin egen phishing-video, som han kunne peppe op og give så meget kant, som han havde lyst til. Før vi viser jer videoen og Mads’ tanker omkring den, skal vi lige forbi, hvad Mads har lavet af fysisk awareness for at understøtte awareness-træningen.

Fysisk awareness for at skabe mere deltagelse i awareness-træningen

Udover CyberPilots awareness-træning, har Mads også lavet andre tiltag for at skabe awareness. Han har f.eks. hængt plakater op.

”Jeg startede i det helt små med nogle plakater, som jeg hang op. De havde en eller anden form for halvprovokerende tekst på – ikke noget ondskabsfuldt, men eye-catchers, og noget flot grafik.”

Det var disse plakater, der startede hele awareness-bølgen for Mads. Mads bruger stadig fysisk awareness, når folk glemmer at tage deres kurser. Hvis han kan se, at deltagelsesprocenten falder lidt, så går han i gang.

”Når jeg kan se, at tilslutningen til kurserne er lidt lav, så beder jeg pænt min kollega om at gå ud med flyers til samtlige kollegaer, om at de skal huske at tage træningen. De gider ikke læse mange mails fra mig, så jeg må lave noget andet. F.eks. har jeg lavet en flyer med en besked om, at Mærsk tabte 2 milliarder, da de var nede i noget tid, fordi nogen havde klikket på en mail. Sådan nogle eksempler er gode til lige at minde om, at det er vigtigt. De kan miste deres forskning eller miste deres patenter. Jeg gør dem bare opmærksomme på det, og det virker. Jeg kan se, at der kommer et boost på deltagelsen af kurser, og så falder det stille og roligt igen, og så er det tid til nye flyers.”

De færreste har lyst til at tage kurser om IT-sikkerhed frivilligt. Folk vil hellere videre med deres daglige opgaver, så nogle gange er det nødvendigt at minde folk om, hvorfor kurserne er vigtige.

IT-afdelingen skal være et safe space – Ingen dumme spørgsmål

Den sidste del af Mads’ fysiske awareness er at være til stede og snakke med sine kollegaer. Alle medarbejdere skal vide, at de altid kan komme med spørgsmål.

”Vi har også gjort meget ud af at fortælle ’I skal ikke være bange, hvis I har klikket på linket. Så bare kom ned og tal med os. Så finder vi ud af, hvad vi skal gøre’. De føler sig mere komfortable, fordi det er inde på livet af dem nu. Det er ikke en fremmed ting, hvor de tror, at de bliver fyret, fordi de klikkede på et link, eller at de tror, at de får en reprimande fra deres chef. Det er blevet gjort til hverdag, at IT-sikkerhed er en del af den.”

Mads’ pointe her er vigtig for at skabe en god IT-sikkerhedskultur. Hvis dine medarbejdere er trygge og tør fortælle dig, hvis der er sket noget, så har du en bedre chance for at reagere hurtigt og effektivt. Derudover er det selvfølgelig altid bedst at skabe en kultur og et arbejdsmiljø, hvor folk føler sig trygge. Det er præcis, hvad en god IT-sikkerhedskultur handler om.

Se DTU Biosustains egen awareness-video

Som nævnt, synes Mads, at vores awareness-træning kunne blive peppet lidt op. Så hvad gjorde Mads? Han lavede sin egen video sammen med Rolf, der laver stop-motion animationer. Men hvorfor lavede Mads den video? Hvad kræver det at lave sine egne videoer og virker de?

Før Mads besvarer alle disse spørgsmål, så lad os lige se videoen (hvis du ikke kan se videoen, skal du formentlig acceptere vores cookies):

Et modsvar på stigende antal af phishing-angreb

Phishing-angreb er en stor trussel for DTU Biosustain. For nogle år siden, hvor spam-filtre ikke var så gode som de er i dag, så cetrets medarbejdere ofte angreb. Phishing-truslen er den største årsag til at lave videoen for Mads:

”Dengang blev vi ramt af mange phishing-angreb. Det var en udfordring og ikke alle medarbejdere var opmærksomme på, hvordan man skal befærde sig på det store internet og truslerne, der kommer med det.”

Videoen er en reminder og et hurtigt fix for at få folk til at huske truslen fra phishingmails.

”Det er jo ligesom, når man giver kæresten nogle roser. Efter nogle dage så hænger de lidt, så giver man dem lige noget varmt vand, og så hejser de lige nakken en gang mere. Så det var lige for at få folk til at vågne, ved at sige ‘Hallo!’”

 Mads indrømmer dog også, at han havde en anden årsag til at lave videoen. Den var, at han bare synes, at det var sjovt.

”Måske var det også sådan et egoistisk projekt, fordi at jeg synes, at det var sjovt at lave. Men det var jo hovedsageligt for at få folk til at vågne op, og have chancen for at skrue op for alle knapperne med stereotyper. Det var for at lavet noget sjov awareness.”

Og hvorfor ikke have det sjovt, imens man laver awareness?

Sådan lavede Mads videoen

Mads startede med at spørge en masse reklame- og mediebureauer, men de ville alle have 500.000 kroner for at lave videoen plus 250.000 kroner for at lave en undersøgelse af effekten af videoen bagefter. Det var ikke ligefrem indenfor det scope, som Mads arbejdede med. Han havde 300 medarbejdere, som han håbede på, ville banke på hans dør og sige ”Det var en sjov video”, og at de bagefter måske snakkede lidt om den rundt om frokostbordet. Altså, ikke noget stort og fancy.

Mads mødte Rolf og en ide blev født

Så hvad gør du, når du ikke vil bruge en halv million? Mads kom i tanke om en fyr, der hed Rolf, som han var stødt på tidligere.

”Jeg stødte på ham der fyren, der har lavet den her video. Jeg synes, at han var fuldstændig gakket og utrolig kreativ. Han bruger en masse dimser, han finder rundt omkring. Han startede med at lave en awareness-video for DTU’s byggepladser, og om farerne ved at arbejde på disse. Jeg ringede til ham.”

Mads kom altså i tanke om Rolf og vidste med det samme, hvad der skulle ske. Rolf skulle lave videoen om phishing.

Det kræver en masse arbejde

Mads lavede et storyboard, som han så sendte til Rolf, der lavede lidt rettelser til det. Ideen var, at det skulle være sjovt, provokerende og handle om situationer, som DTU Biosustain ser i deres dagligdag.  

”Vi lavede et storyboard med alt det, som vi ser mest her. Derefter lavede Rolf sin twist, for der er ikke nogen, der gider at se på en 15 minutters lang video. Men det var de tanker, vi havde om videoen - bare at få ramt de ting, vi er mest udsat for og så sørge for, at der som minimum er et par stykker, der griner af den.”

Der var dog en lang vej fra storyboard til færdig video. Rolf arbejdede på filmen i sin fritid, da han havde fuldtidsarbejde ved siden af. Det endte med at tage et år at lave videoen.

”Det han gør, er jo stop-motion. Han sidder ude i sin kolde garage et sted meget tæt på den tyske grænse og laver hver eneste lille ting selv. Det tager jo rigtig lang tid, og jeg fik rigtig meget skæld ud af min chef for ikke at rykke på ham mere. Men jeg er sikker på, at da Michelangelo malede loftet i Det Sixtinske Kapel, var der heller ikke nogen, der sagde til ham, at han skulle komme i gang. Kreativitet tager tid.”

Så selvom man ikke betaler en halv million til et reklamebureau, koster det stadig penge og tid at lave sin egen video.

Videoen så dagens lys

Efter et års arbejde var videoen klar til at møde sit publikum. Den blev lagt ud på DTU Biosustains intranet, og når Mads ser en bølge af phishing-angreb, får den en genoplivning i deres ugentlige interne nyhedsbrev. Videoen er dog ikke blevet brugt så meget, som Mads håbede på. Måske blev den alligevel en tand for provokerende, og han blev en smule bange for reaktionerne fra ledelsen.

”Jeg var alligevel også en lille smule loren ved, om upper-management ville se den og tænke 'Åh Mads, din kæmpe klovn, det har du bare ikke brugt penge på!'"

Det er ikke fordi, at Mads ligefrem frygter for sit job, men han ved, at videoen måske ville skabe røre i andedammen. Det skal siges, at Mads godt kan se det paradoksale i en awareness-video, som man er nervøs for at vise.

Mads modtog positivt feedback for videoen

Selvom Mads var en smule nervøs for at vise videoen til alle, så var den feedback, han har fået 100% positiv.

”De siger måske: ‘Kæft hvor er den åndssvag’, men på samme tid snakker de jo om phishing. En anden siger måske ‘Jeg er jo fra Østeuropa, hvorfor skal jeg udstilles på den her måde?’ og så kan jeg sige ‘Det må du undskylde’. Men sådan er det, og i sidste ende, er der ingen, som for alvor bliver stødt, fordi de godt ved, hvordan virkeligheden er. Og virkeligheden er, at vi er bange for internationale IT-kriminelle og hackere.”

Videoen får altså medarbejderne til at snakke om phishing, og hvis den gør det, er den en succes. Samtalerne skaber opmærksomhed om truslen og højner sandsynligheden for, at folk spotter den næste phishingmail i indbakken i stedet for at klikke på linket. Altså er pengene måske godt givet ud.

Skal din virksomhed lave sin egen phishing video?

3 hurtige tips til andre virksomheder

Jeg spurgte Mads, om han kunne komme med 3 hurtige tips til andre virksomheder. Det kunne han på en måde, selvom det egentlig var ét stort tip.

"Åh, jeg tror hvis du kan trække tre råd ud af det, så tror jeg at det var det."

Jeg giver det et skud.

Tip 1: Få et stærkt teknisk fundament

Det første råd er at have styr på de tekniske løsninger, som skal hjælpe din IT-sikkerhed.

”Du kan komme rigtig langt med de tekniske systemer, og måske sørge for, at kun 2-3% af noget ’forkert’ kommer igennem systemerne”

Den tekniske del af IT-sikkerhed er stadig vigtig, men Mads pointer også, at det ikke er nok, for hvis 2-3% af skadelige ting kommer igennem ens systemer, så skal det håndteres.

Tip 2: Din IT-sikkerhed er ikke stærkere end din svageste bruger

Din teknik kan ikke leve uden opmærksomme medarbejdere.

”IT-sikkerheden er ikke stærkere end den svageste bruger, eller en bruger, der har en så travl dag, at de kommer til at klikke på noget eller logge ind et forkert sted.”

Mads mener, at du skal gøre dine medarbejdere opmærksomme, så de kan undgå at lave fejl. Det tredje tip er en del af det, men da jeg skulle have 3 tips, så måtte jeg snyde lidt.

Tip 3: Skab en sund IT-sikkerhedskultur

Det tredje tip fra Mads er, at man skal skabe et rum, hvor folk ikke er bange for at indrømme fejl. Det er en ting at have opmærksomme medarbejdere, men noget andet at have medarbejdere, der tør komme ned til IT-afdelingen, når noget går galt. Medarbejdere må ikke være bange for at blive straffet.

”Du skal have en omfavnende kultur omkring folks forskellige niveauer af IT-viden. Der er ikke noget værre, end hvis der er en, der er bange for at komme til dig og i stedet prøver at skjule, at de måske lige er kommet til at give en masse information videre. Måske fordi, at de er flove.”

En kultur, hvor alle tør stå frem, er vigtig. Vi er fuldstændig enige i alle tre råd fra Mads. Det er vigtigt at have styr på sin IT, men det er ligeså vigtigt at skabe en kultur med opmærksomme medarbejdere, der ikke er bange for at banke på IT-holdets dør, hvis der opstår spørgsmål eller fejl.

IT-sikkerhed om 5 år

Hvordan ser Mads sit arbejde om 5 år? Og hvordan håber han, at det er? Det var mit sidste spørgsmål til Mads, og det bliver her tydeligt, at han tænker på brugerne som en essentiel del af IT-sikkerhedsarbejdet. Han ønsker, at fremtiden byder på mere brugerinvolvering i IT-sikkerhedsarbejdet, præcis ligesom man kan det fra designere, som har brugerne med hele vejen i designprocesser. Han vil gerne sidde med brugerne og se, hvordan de benytter forskellige programmer og systemer. Det vil gøre ham istand til at kommunikere og lave strategier, der passer medarbejdernes hverdag.

”Få tænkt menneskers behov ind i det, vi laver. Det gør vi ikke nok. Det håber jeg, at vi gør meget mere om fem år, så vi forstår behovene og kan tilpasse vores IT-sikkerhed og vores awareness efter det.”

Lad os bare sige, at vi har samme håb som Mads. IT-sikkerhed bør ikke gøre det sværere for folk at udføre deres arbejde, men skal være let at implementere i en hverdag, hvor der er nok at se til i forvejen.

Skab awareness i din organisation

En god IT-sikkerhedskultur er vigtig for alle organisationer. Som DTU Biosustain og Mads har vist, er der mange måder at skabe den på. Du kan f.eks. lave videoer, plakater, snakke med medarbejdere eller lave et awareness-træningsprogram. Hvis du vil prøve vores awareness træning gratis, kan du være i gang om 3 minutter ved at klikke lige her.