cybercrime_191020491_XL_WEB.jpg

HR-funktionens rolle i beskyttelse mod cyberkriminalitet

Cybersikkerhed – det er da it-afdelingens ansvar?

Ifølge PwC’s Cybercrime Survey 2018 er de økonomiske omkostninger som følge af cyberangreb steget til nye højder. Halvdelen af it- og erhvervslederne angiver i 2018 (mod 41 % i 2017), at de har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser i forhold til sidste år.

Af Christian Kjær, partner, PWC

Der er en generel misforståelse af, at beskyttelse mod cyberkriminalitet udelukkende er it-afdelingens anliggende. Det drejer sig om it-angreb og teknologi-nedbrud, der rammer eller er forårsaget af computere. Så det må da være it-afdelingen, der håndterer dette. Hvorfor skal du som HR-ansvarlig beskæftige dig med dette emne?

Det skal du, fordi medarbejderen potentielt udgør den største risiko i forhold til denne trussel. Medarbejderen kan, enten ubevidst eller gennem ondsindede bevidste handlinger, forårsage stor skade for jeres virksomhed. Ifølge PwC’s Cybercrime Survey 2018 er erhvervsledernes største bekymring netop de ansattes ubevidste handlinger. Som HR-ansvarlig har du derfor en væsentlig rolle i at reducere denne risiko og være med til at gøre medarbejderen til et aktiv i virksomhedens beskyttelse.

People-Process-Technology

Det er ‘People’, der står først i denne ‘ligning’ som it-sikkerhedsprofessionelle typisk henviser til, når de skal beskrive, hvor der skal sættes ind i forsvaret mod cybertruslen. People: Medarbejderne bør have en forståelse af trusselsbilledet, og hvad der er god praksis med udgangspunkt i deres specifikke arbejdsfunktion. Process: Der bør være indført en række politikker og beskrevne arbejdsgange for, hvad man må, og hvad man ikke må i organisationen i forhold til brugen af it-systemer, applikationer og data. Fx har mange virksomheder over de seneste par år haft særligt fokus på at implementere og dokumentere arbejdsgange i forhold til Databeskyttelsesforordningen (GDPR). Technology: It-afdelingen skal sikre, at der er implementeret passende tekniske foranstaltninger til at beskytte virksomheden og dennes data mod angreb, tekniske nedbrud m.v.

HR’s opgaver direkte relateret til cyberforsvaret

De fleste it-sikkerhedsstandarder (fx ISO27001) foreskriver tre hovedområder, hvor HR-afdelingen har en væsentlig rolle i forhold til medarbejderens ansættelsescyklus.

  1. I ansættelsen af nye medarbejdere bør HR-afdelingen medvirke til, at nyansatte bliver screenet i et omfang, der afspejler risikoen ved det arbejde, den enkelte skal udføre. Dvs. at medarbejdere, der evt. skal arbejde med forretningskritiske data, følsomme persondata eller andet, bør underlægges et mere tilbundsgående baggrundstjek end andre nyansatte samt evt. aflægge straffeattest. Desuden skal HR sikre, at de sikkerhedsbestemmelser, der er gældende for medarbejdere, er inkluderet i ansættelseskontrakten, evt. som bilag, så medarbejderne er opmærksomme på og har skrevet under på, at de er indforstået med deres forpligtelser til at beskytte virksomhedens informationer og it-aktiver.

  2. Under medarbejderens ansættelse bør HR medvirke til, at der er et passende introduktionsforløb, hvor medarbejderen modtager den fornødne træning i virksomhedens sikkerhedspolitik og -retningslinjer. HR bør ligeledes samarbejde med it og it-sikkerhedsfunktionen ved udformning og udrulning af awareness-aktiviteter, der løbende skal sikre, at medarbejdere er bekendt med det aktuelle trusselsbillede, og hvad der er god praksis for at handle korrekt (fx skepsis i forhold til modtagne mails, og at man ikke skal klikke på links i mails fra ukendte afsendere, at man skal låse sin skærm, når man forlader sin arbejdsplads, og at man ikke skal dele adgangskoder m.m.)

  3. HR skal sammen med it og it-sikkerhed medvirke til, at der er arbejdsgange, der sikrer, at medarbejderens aktiver bliver inddraget ved arbejdsforholdets ophør, herunder computere, vpn tokens, telefon, adgangskort/nøgler, m.m., samt at medarbejderen skriftligt påmindes om dennes fortrolighedsforpligtelser, der også er gældende efter ansættelsens ophør.

HR’s mere langsigtede opgaver relateret til sikkerhed

Forandringsledelse

Mange virksomheder vil fremover se sig nødsaget til at implementere en mere formaliseret styring af it-sikkerhedsområdet. Det gælder fx virksomheder, der leverer ydelser eller produkter til andre virksomheder, og som i stigende grad vil blive mødt med krav om at dokumentere deres databehandling og it-sikkerhedspraksis, for at kunderne kan have større tillid til, at man ikke udgør en unødig risiko. GDPR er et godt eksempel herpå og har for mange virksomheder netop medført implementering af en række arbejdsgange og kontroller, der ikke var formaliseret i samme grad tidligere.

Dette øgede krav til politikker, procedurer, retningslinjer, kontroller, m.v. medfører en højere modenhed, men også at nogle medarbejdere vil føle, at deres frihedsgrader indskrænkes. Som medarbejder kan man føle sig umyndiggjort eller overvåget, hvis fx it-afdelingen har fjernet ens lokaladministrative rettigheder, så man ikke længere selv kan installere software på sin pc, eller at man skal bære synligt id-kort for at komme rundt i huset, eller at man ikke længere frit kan tilgå alle drev og it-applikationer.

Denne type ændringer skal derfor ledsages af en væsentlig kommunikationsindsats, der skal understøtte en forandringsledelse i organisationen. HR vil have en væsentlig rolle i denne kommunikation og proces for at sikre forankringen blandt medarbejdere.

Cyber skills gap

It-sikkerhed er en relativt ny disciplin, og der findes i dag begrænsede uddannelser inden for området, og udbuddet af specialister med sikkerhedserfaring svarer slet ikke den efterspørgsel, der er i markedet. Ifølge PwC’s Cybercrime Survey 2018 udgør mangel på it-sikkerhedskompetencer således en stigende bekymring for erhvervslederne. Den stigende regulering på området (fx GDPR) og de mange offentligt kendte hændelser har medført, at flere virksomheder søger specialister, der kan hjælpe med at beskytte virksomheden, og man kæmper om de samme knappe ressourcer.

HR’s rolle i denne sammenhæng er kendt. Det er væsentligt, at HR sammen med ledelsen, it-funktionen og andre interessenter får identificeret, hvilke kompetencer man skal ansætte eller evt. uddanne internt – på kort og længere sigt. At tiltrække de rette kandidater i den nuværende markedssituation medfører en ekstraordinær indsats. HR bør have fokus på at gøre stillingen attraktiv og bl.a. demonstrere, at it-sikkerhedsindsatsen har ledelsens fokus og opbakning. De gode kandidater vil arbejde et sted, hvor de kan få lov til at udfolde deres kompetencer og sætte deres præg på arbejdet.

Der kan også være tale om at holde på de talenter, man allerede har i organisationen. Der er rift om de gode hoveder, og mange it-sikkerhedsfolk modtager jævnligt tilbud fra andre. Uddannelse, certificering og ledelsesopbakning kan medvirke til, at man holder på ens nuværende sikkerhedsmedarbejdere.

-----------------------------------------------------------------------------------------------------------

Master class om cybersikkerhed

HR har en væsentlig rolle relateret til beskyttelse af virksomhedens informationer og aktiver, i og med alle medarbejdere deler dette ansvar. HR-ledelsen bør initiere en dialog med forretningsledelsen og it-funktionen med henblik på at identificere virksomhedens behov og evt. krav, både med hensyn til implementering af arbejdsgange og kontroller såvel som til at adressere de mere langsigtede behov.

Vil du vide mere om, hvordan HR kan gribe denne opgave an?

Så deltag på master class'en på Træfpunkt HR onsdag den 2. oktober klokken 13.15-14.15. Her får du:

  • Inspiration til hvilke punkter, du bør have fokus på i forhold til god praksis på området
  • Værktøjer til at løfte virksomhedens indsats på området og gøre medarbejderen til et sikkerhedsaktiv i stedet for en sikkerhedsrisiko.
  • 10 gode råd til medarbejderens daglige arbejde

Læs mere om master class'en her