Som CISO hos Milestone Systems er det Jacob Steen Dues ansvar at undgå huller i virksomhedens IT-forsvar. Meget kan løses teknisk, men han har stor respekt for, hvor vigtigt det er at tage den menneskelige faktor alvorligt.

”Den sidste linje i forsvaret, det er os alle sammen. Uanset, hvor meget vi kan gøre teknisk, så er det os som mennesker, der skal være i stand til at fange det sidste, og det kræver en særlig tilgang”, siger Jacob Steen Due.

“Der er gået sport i at rapportere mails og signalere, at man er vågen og holder øje.”

– Jacob Steen Due, CISO, Milestone Systems

Simulerede phishing-mails og træning

For at imødegå de særegne udfordringer omkring awareness har Milestone Systems i samråd med SecureDevice indkøbt værktøjet Cofence PhishMe, som er baseret på simulerede phishing-mails, effektiv undervisning og aktiv rapportering fra medarbejderne.

Fremfor at give tidskrævende og generel undervisning til alle, fokuseres indsatsen mod de, som har en risikobetonet adfærd. Hvis en medarbejder fx klikker på et link i en af de simulerede phishing-mails, får han straks efter en kort og præcis instruktion via video eller infografik. Dermed undervises alle, der har brug for det, og det sker, når modtageligheden for læring er størst.

Milestone Systems har med software og rådgivning fra SecureDevice løftet deres awareness markant. Løsningen er målbar og indeholder træning tilpasset en travl hverdag.

Adrenalinchok med stor effekt

”Dem, jeg taler med, der tør indrømme, at de faldt for det, fortæller, at det har stor effekt. Og pointen er netop, at man skal falde i engang i mellem. Vi skal have dette her adrenalinchok, som får awareness op, for det er, når man tror, at man har styr på det, at det går galt”, siger Jacob Steen Due. Han sammenligner det med ulykkesstatistikken for faldskærmsulykker, som stiger hos folk, der i kraft af deres erfaring begynder at tro, de kan køre på rutinen.

Målbarhed er essentielt

Ser man på data efter nogle års brug af værktøjet, står det klart, at den meget praktiske tilgang virker. Medarbejderne hos Milestone Systems kører i stadigt mindre grad på automatpilot og evnen til at spotte og rapportere risikable mails er steget markant.

”Tilgangen er i høj grad målbar, hvilket er helt essentielt, og det fremgår, at vi er på den rigtige kurve. Vi har brugt meget krudt på at kommunikere om dette her internt i virksomheden, og vi bliver ved med at bruge resultaterne til at mindske risikoen”, siger Jacob Steen Due.

I praksis er det SecureDevice, som afvikler kampagnerne og tilpasser sværhedsgraden. Der arbejdes med et måltal, som både ser på sværhedsgraden af de simulerede angreb og på, hvor mange mails, medarbejderne rapporterer som phishing. På den måde får man et realistisk billede af virksomhedens sikkerhedsniveau på området.

Medarbejderne er et aktivt forsvar

Det store fokus har bevirket, at der visse steder ligefrem er gået konkurrence i at være vågne og indrapportere. Siden Milestone Systems begyndte at bruge værktøjet, er deres resilience-rate steget markant, og man kan begynde at tale om, at medarbejderne i dag udgør et aktivt forsvar.

”Dette her bliver taget alvorligt i hele virksomheden. Også i det øverste ledelseslag, som er meget flittige til at melde ind. Der er, i hvert fald i visse afdelinger, gået sport i at rapportere mails og signalere, at man er vågen og holder øje. Der må man sige, at folk lægger ret godt til”, siger Jacob Steen Due.