Af Eskil Sørensen, 07/08/20
I takt med at cybersikkerhedshændelser bliver mere og mere alvorlige for virksomheder, viser en ny analyse fra det engelske sikkerheds- og analysefirma CybSafe, at mere end 4 ud af 10 organisationer i Storbritannien tager disciplinære skridt over for ansatte, der begår cybersikkerhedsfejl.
Også fejl begået i phishingtest, der har til formål at måle ansattes awarenessniveau, bliver straffet, og det med ganske alvorlige konsekvenser. De forskellige typer straf fordeler sig således: Udskamning af navngivne ansatte (15 pct), begrænsning i privilegier (33 pct), blokering af computer indtil passende træning har været gennemført (17 pct). Endvidere vil chefen for den skyldige i 63 pct. af tilfældene blive orienteret, hvis der begås cybersikkerhedsfejl.
Kontraproduktivt
Som led i analysen gennemførte CybSafe også et eksperimentelt studie også konsekvenserne af disciplinære strafforanstaltninger. Det viste, at det var ”stærkt skadeligt” og medførte øget angstniveau og reducerede produktiviteten hos de ansatte. Studiet antyder, at disciplinær straf i forbindelse med cybersikkerhedsfejl vil kunne have en langtidseffekt på de ansattes mentale sundhed og rent faktisk reducere deres modstandsdygtighed over for cybertrusler.
Lederen af afdelingen for adfærdsforskning hos Cybsafe siger ifølge Inforsecurity Magazine i en kommentar til analysen, at tilgangen med straf kan medføre, at ansatte i lavere grad vil være indstillet på at rapportere cybersikkerhedshændelser hurtigt.
I så fald – kan man tilføje – er man lige vidt.
Hvis man overvejer at indføre straf for cybersikkerhedsfejl, overtrædelser af retningslinjer og sikkerhedspolitik, bør man nok have konklusionerne i denne analyse med i sine overvejelser.
Links:
https://www.infosecurity-magazine.com/news/punishing-cybersecurity-errors/