De offentligt ansatte i et dilemma

Er offentligt ansatte selv i stand til at vurdere om regler og retningslinjer er nødvendige? Der er ikke nødvendigvis balance mellem sikkerhed, brugervenlighed og effektivitet (økonomi) i den offentlige sektor.

<p><img alt="Henrik Larsen, chef for DKCERT" src="/sites/default/files/uploads/image/Henrik_Larsen_1.jpg" /></p>

<p>Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.</p>

<p>Initiativ og selvstændig stillingtagen har altid været et kendetegn for den danske arbejdsstyrke. I modsætning til mere autoritetstro folk i udlandet har danskerne været præget af, at de godt kunne selv, og at tale chefens ord imod er nærmest karrierefremmende og forventet. Ikke det modsatte.</p>

<p>Men hvordan ligger det i forhold til informationssikkerhed? Er det nu både klogt og tilrådeligt at gå imod ledelsen?</p>

<p>I al fald kan vi konstatere, at op mod 15 pct. af de offentligt ansatte svarer ja til, at de til tider undlader at efterleve arbejdspladsens retningslinjer for informationssikkerhed. 18 pct. af mændene gør det, mens det drejer sig om 14 pct. af kvinderne. Det må siges at være at gå imod ledelsen.</p>

<p>Det er stort set en fordobling ift. 2018, hvor otte pct. svarede ja på samme spørgsmål. Disse tal kommer fra rapporten Danskernes Informationssikkerhed&nbsp;, som DKCERT udgav sammen med Digitaliseringsstyrelsen, KL og Danske Regioner i 2020. Rapporten er baseret på en dataindsamling foretaget af Megafon A/S i sommeren 2020. Dvs. tallene er ikke helt nye, men der er næppe store forskelle her godt et halvt års tid efter.</p>

<p>Går man dybere ned, svarer 21 pct. af disse 15 pct., at de undlader at følge informationssikkerhedspolitikken og/eller -retningslinjerne hver dag eller mindst en gang om ugen. I 2018 var det 33 pct. af dem, der til tider undlader at følge reglerne, der gjorde det dagligt eller mindst en gang ugentligt.</p>

<p>Også her er der kønsmæssige forskelle i risikovilligheden: Af mændene er det 29 pct., der undlader at følge retningslinjerne dagligt eller mindst en gang om ugen, mens det af kvinderne handler om 14 pct.</p>

<h2>Hvorfor sker det?</h2>

<p>I modsætning til tidligere er vi gået dybere ned i årsagerne til, at folk ikke efterlever retningslinjerne. Her anfører 61 pct., at ’..retningslinjerne gør det daglige arbejde besværligt eller umuligt at udføre’, og 32 pct. svarer, at ’..de selv vurderer, om det er nødvendigt at efterleve retningslinjerne i de enkelte arbejdssituationer.’ Størst andel af disse svar finder vi i hovedstadsområdet, færrest i Nordjylland.</p>

<p>På spørgsmålet om, hvad der skulle ændres for at de offentligt ansatte oftere ville følge reglerne, svarer 48 pct., at sikkerhedspolitikkerne og/eller retningslinjerne skulle være nemmere at efterleve. 24 pct. svarer, at de skulle være mere relevante for arbejdsopgaverne. 18 pct. svarer, at lederen skulle sætte mere fokus på dem og prioritere dem.</p>

<p>Det skal bemærkes, at det har været muligt at give op til tre svar med følgende, yderligere svarmuligheder på spørgsmålet: De skulle være mere forståeligt formidlet (13 pct.); det skulle være nemmere at forstå formålet med dem (4 pct.); jeg skulle udsættes for en it-sikkerhedshændelse, før jeg begyndte at efterleve dem (10 pct.); mine kolleger skulle have været udsat for en sikkerhedshændelse, før jeg begyndte at efterleve dem (5 pct.); jeg skulle kende de konkrete trusler mod min arbejdsplads (11 pct.); andet (13 pct.)</p>

<p>Det er jo lidt af et dilemma, de offentligt ansatte bliver udsat for her. Skal man udføre sit arbejde og bryde retningslinjerne, eller skal man overholde retningslinjerne og ikke løse opgaverne? Skal man tage selvstændig stilling om overholdelse af retningslinjen er nødvendig, hvis lederen ikke prioriterer det??</p>

<h2>Teorien giver svaret&nbsp;</h2>

<p>Som et overordnet princip skal retningslinjer og regler for informationssikkerhed jo overholdes. Dette ud fra præmissen om, at ledelsen har gennemført risikovurderingen, og ud fra en samlet vurdering af sandsynligheden for brud på informationssikkerhed og konsekvensen ved bruddet har ledelsen udstukket nogle retningslinjer, der minimerer eller eliminerer sandsynligheden for bruddet.</p>

<p>Sådan siger teorien, men praksis er ofte en anden. Kan du ikke udføre dit arbejde, er der enten noget galt med opgaverne eller med retningslinjerne.</p>

<p>Jeg vil ikke her gøre mig til dommer over, om der kan være situationer, hvor retningslinjerne kan være nødvendige at bryde. Ej heller, om den danske tilgang om, at tilgivelse er bedre end tilladelse, er den rigtige.</p>

<p>Jeg vil heller ikke anfægte, hvad de færreste kan være uenige i, at den offentlige sektor med den høje grad af digitalisering på mange områder er mere effektiv end den offentlige sektor i andre lande.</p>

<p>Der er næppe tvivl om, at digitaliseringen i Danmark er sket med den voldsomme hast i kraft af og ikke på trods af selvstændigt tænkende ansatte i både den offentlige og private sektor. Det har været med til at give Danmark en stor digital og også økonomisk fordel i forhold til andre lande. Jeg er med på, at al digitalisering ikke altid i sig selv er lykken; det er heller ikke mit ærinde her. Men tænk blot på, hvor nemt det er at bestille en coronatest, (om end det endnu ikke er uden problemer at bestille tid til vaccination). Det første har utvivlsomt sparet os for mange besværligheder og indlæggelser; mon ikke også vaccinationsbestillingen bliver lidt mere <em>smooth</em> hen ad vejen.&nbsp;</p>

<p>Men digitaliseringen bør ikke ske på bekostning af informationssikkerheden, for det udfordrer den tillid, som er selve forudsætningen for digitaliseringen. Og den selvstændigt tænkende arbejdsstyrke, der har evnet og har haft rammerne til at skabe digitaliseringen, bør ikke være så selvstændigt tænkende, at det går ud over informationssikkerheden.</p>

<h2>Hvor skal vi så finde balancen mellem sikkerhed, brugervenlighed og effektivitet/økonomi?</h2>

<p>Tjah, sikkerhedsfolk er ikke i tvivl om svaret. Det er kun den øverste ledelse i den enkelte organisation, der kan finde balancen. Lederen kan delegere ansvaret ud til mellemledere og de ansvarlige for de enkelte forretningsområder, og disse kan i en vis grad delegere ansvaret til den enkelte medarbejder. Men ansvaret er ledelsens.</p>

<p>Hvis 61 pct. føler sig nødsaget til at bryde reglerne for at løse opgaverne, så har vi et problem med balancen. En ubalance, der kan finde sin årsag i, at sikkerhedsreglerne mange steder er lavet af nogen, der ikke kender arbejdsopgaverne. Og dem, der skal følge reglerne forstår ikke nødvendigvis reglerne eller endnu vigtigere: Hvorfor reglerne er nødvendige.</p>

<p>Uanset hvad: Ubalancen er der, så hvem skal tage initiativ til at (gen)skabe den?</p>

<h2>Brug selvstændigheden rigtigt</h2>

<p>Min opfordring til offentligt ansatte lyder: I stedet for at bryde informationssikkerheden for at løse opgaverne, bør man i stedet over for sin ledelse pege på det åbenlyst fornuftsstridige i, at man ikke kan udføre sine arbejdsopgaver uden at bryde retningslinjerne. Og så i øvrigt tage initiativ til at udfordre ledelsen på, hvordan opgaverne så kan løses, uden at det kræver brud på reglerne, samtidig med at effektiviteten bevares.</p>

<p>For det er jo den enkelte medarbejder, der sidder med opgaverne, og han / hun har, det vi kan kalde <em>forretningsforpligtelsen,</em> gennem det bedste kendskab til opgaverne, mens lederen har <em>forretningsansvaret</em>. Det kan jo være, at lederen ikke er klar over problemerne. Dét er det medarbejderens opgave at gøre opmærksom på.</p>

<p>Jeg kan ikke forestille mig, at det kan være andet end karrierefremmende.</p>

<p>For tænk, hvis et brud på informationssikkerheden førte en GDPR-bøde med sig. Eller endnu værre: Et brud på tilliden.</p>

<p>&nbsp;</p>

<div>
<div>
<p>&nbsp;link: <a href="https://cert.dk/sites/default/files/uploads/Danskernes%20informationssik...
</div>
</div>