Det mänskliga beteendet och säkerhet har en komplicerad relation som starkt kan påverka det önskade resultatet av säkerhetsåtgärder. För att förstå varför många människor är avvaktande och ibland visar lite rädsla när de ställs inför ämnet informationssäkerhet måste vi först fastställa vad informationssäkerhet är. Definition enligt ISO/IEC 27000:2008 (översatt):
"Informationssäkerhet säkerställer informationens konfidentialitet, tillgänglighet och riktighet."
Definition enligt NIST SP 800-16 (översatt):
"Skydd av information och informationssystem från obehörig åtkomst, användning, avslöjande, störningar, modifiering eller förstörelse för att tillhandahålla konfidentialitet, riktighet och tillgänglighet."
Här ser vi att nyckelorden är KONFIDENTIALITET, RIKTIGHET och TILLGÄNGLIGHET (och låt oss inte glömma SPÅRBARHET)
Detta verkar enkel, eller hur? Eller är det?
Du har säkert stött på, mer än en gång, kollegor som verkar tro att informationssäkerhet är något man bara gör i cyberrymden, de ser det som något tekniskt, något som bara vissa personer är kvalificerade att ta hand om. Det är inte så konstiga antaganden med tanke på det komplicerade språket och till synes komplexa begrepp som används.
Människor är komplicerade och för att kunna förstå de olika reaktionerna när det kommer till informationssäkerhet måste vi titta lite närmare på den psykologiska, sociala och organisatoriska aspekten av det mänskliga beteendet. Dessa aspekter formar hur vi som människor interagerar med varandra och hur vi reagerar på saker vi stöter på.
Säkerhet är nytt för många, det är skrämmande, speciellt när det kombineras med tidspress, och hur reagerar de flesta människor på nya skrämmande saker? De reagerar med rädsla! Det är viktigt att förstå att våra känslor är mer grundläggande reaktioner än vad många kommer att erkänna. Rädsla hjälper oss att överleva, det hjälper oss att undvika fara, eller åtminstone var det dess ursprungliga syfte. Denna mekanism kan i dagens värld göra våra handlingar lite malplacerade. Istället för att närma sig informationssäkerhetsämnet med nyfikenhet försöker vissa människor undvika det till varje pris.
Detta betyder att rädsla för informationssäkerhet är samma rädsla som skulle ha räddat oss på savannen, det förklarar hur hårt kopplade en del av mänskliga reaktioner orsakade av känslor är.
Nu när vi har tittat på det individuella beteendet, hur reagerar gruppen på rädsla? Ofta med mer rädsla. Kom ihåg att rädsla ofta är smittsamt. I arbetet som ledde fram till rapporten Chemosensory cues to conspecific emotional stress activate amygdala in humans publicerad av Mujica-Parodi, Lilianne R et al. 2009. skickade teamet flera personer att fallskärmshoppa för att testa om det faktiskt fanns mänskliga larmferomoner. Slutsatsen var, ja det gör det! Så när vi talar om att rädsla sprider sig som en sjukdom har vi faktiskt inte fel. Även om rädsla för informationssäkerhet inte är en lika stark rädsla som rädslan vid fallskärmshoppning fungerar den på liknande sätt: Om flera anställda känner rädsla mot informationssäkerhet, så sprids den, genom feromoner, genom attityder och genom prat. Men observera, detta är ofta en undermedveten process, väldigt få människor motstår informationssäkerhetsarbetet när de väl förstår det.
Nu vet vi att rädsla är en grundläggande mänsklig känsla, och den kommer att sprida sig. Vad kommer detta att betyda för organisationen om inget görs? Det kommer att leda till en undermålig säkerhetskultur och förmodligen en hel del säkerhetsintrång.
Vad kan vi som jobbar med säkerhet göra? Först och främst, ja, säkerhetsproblem börjar ofta med människor, men vi har verkligen ett problem om vi som jobbar med säkerhet ser individen som ett problem. Vi borde se säkerhetskulturen och processerna som ett problem. Det ligger i vår natur som människor att saker ska ske snabbt, och det är ofta ett problem inom säkerhetsvärlden. Det är därför kommunikationen mellan oss som jobbar med säkerhet och andra anställda bör vara regelbunden, kvalitativ och fri från dömande kommentarer.
Vi som jobbar med säkerhet måste förstå, eller ett bättre ord (för du förstår säkert) komma ihåg att människor redan har ansträngda resurser och tillsammans med tidspressen (inte alltid) tenderar de att kämpa med effektiva beslut. Om vi förväntas bli lyssnade på, måste vi också lyssna på den andra sidan.
The people behind The Security Dragon have combined 25+ years of experience within the security sector.
