“Crash-tests” i Cybersecurity & Compliance Onboarding
Er “crash-tests” i Cybersecurity & Compliance Onboarding for nye ansatte overset på budgettet forbundet med nyansættelser?
Artikel af David Ulrik Kristiansen, Chief Data Protection Officer
Direkte og indirekte betydelige omkostninger forbundet med onboarding
Vi ved det alle sammen, det er relativt bekosteligt at ansætte en ny medarbejder. Faktisk, så koster det en mindre formue. Lige fra de direkte omkostninger med ansættelsen, herunder rekrutteringsprocessen (ekstern og intern HR) til de mere indirekte omkostninger forbundet med at få ”kørt en ny medarbejder i stilling”, nemlig hele onboardingsforløbet og sikring af, at medarbejderen er ”klædt på” såvel fagligt som miljømæssigt til opgaven samt til mere virksomhedsspecifikke krav. Af samme årsag er det de færreste chefer, alle anstrengelser i ansættelsesfasen til trods, der er dybt overraskede, når den nyeste tilføjelse til holdet lige skal hjælpes i gang.
Sikkerhedsmæssig risiko
Alt imens, det langt fra er omkostningsfrit at få en ny medarbejder ind i virksomheden, så er det - i en sikkerhedsmæssig kontekst - et sandt helvede.
En første dag på arbejdet for en ny medarbejder, involverer typisk en længere række af introduktioner, fremvisning af faciliteterne, måske kaffe med chefen, herunder udleveringen af alskens elektronik og adgangskort til virksomheden. Og lige dér – i det øjeblik, hvor medarbejderen får udleveret deres mailsignatur og første gang logger på virksomhedens IP-adresse - da klapper fælden. Som virksomhed, har du netop sendt en medarbejder, som du hæfter for, måske tilmed en medarbejder med adgang til enten personoplysninger eller værdifulde oplysninger, ud i cyberspace, uden så meget som et ”trafikkursus”.
De fleste sikkerhedseksperter vil fortælle dig, at medarbejderne er den største sikkerhedsmæssige risiko (og det er de) af den helt simple årsag, at det - som udgangspunkt - bare er uendeligt meget billigere for de kriminelle at gå målrettet efter medarbejderne end de tekniske sikkerhedsforanstaltninger i It-systemerne. Det bør derfor heller ikke komme som en overraskelse, at de kriminelle længe har erkendt og udnyttet risikomomentet og den ”svaghed”, som særligt nye medarbejdere udgør for virksomhedernes sikkerhed.
Manglende kendskab til reglerne
Nye ansatte kan ikke forventes at overholde reglerne, hvis ikke de bliver entydigt instrueret i dem. Men i en ny-ansættelse er der som udgangspunkt mange nye informationer, som den nyansatte skal forholde sig til. Lige fra de mange nye menneskelige relationer til It-systemerne og kaffemaskinen (ultravigtigt), og de fleste medarbejdere vil - helt naturligt - gerne gøre en god figur på deres nye arbejdsplads. Det er derfor ikke så underligt, hvis der de første uger udvikles lidt af et ”tunnelsyn” hos medarbejderen - en skærpet opmærksomhed på at ”levere varen”.
Presset på compliancefunktionerne ift. at gennemføre awarenesstræning af de nye medarbejder, er derfor særligt udfordret, når der samtidigt skal konkurreres med medarbejderens opmærksomhed omkring kerneopgaven.
Af samme årsag fordrer complianceonboarding også, at man som chef er ekstra vågen ved roret og er tydelig i sin kommunikation omkring vigtigheden af netop compliance.
… og for de chefer om hvilket det gælder, at de nu tænker; ”Jeg ansatte jo ikke medarbejdere til GDPR!” – vil jeg minde om at huske på, at investorerne - som udgangspunkt - er ligeglade med, om afkastet er 7 eller 8 %, men muligheden for at miste investeringen som følge af en GDPR sag eller et cyberangreb… Det betyder en hel del. Spørg bare i Hydro, Mærsk eller William Demant, hvis tvivlen skulle melde sig.
God awarenesstræning tager udgangspunkt i kerneopgaven
En nyansat projektleder eller regnskabsmedarbejder er som udgangspunkt målt og ansat på andre ting end deres forståelse for informationssikkerhed eller compliance. Det må derfor antages, at der vil være forskelligt vidensniveau blandt de nyansatte - selv indenfor samme faglighed. Af samme årsag går det derfor heller ikke at undervise ”alle over en kam”.
I motivationsforskningen er der fornuftigt grundlag for at antage, at god effekt af undervisning opstår, når det underviste er meningsfyldt og relevant på det rette niveau.
Mine egne erfaringer med at gennemføre awarenessprogrammer har måske af samme årsag - gang på gang - påvist nødvendigheden af, at der bliver undervist i virkelighedstro situationer. Meget gerne undervisning gennemført af de medarbejdere i virksomheden, der er bedst til at løse netop de relevante kerneopgaver. På den vis skabes der på samme tid meningsfuld undervisning og et hold af ambassadører/superbrugere for virksomhedens efterlevning af kontrolforanstaltningerne i praksis.
Regulær sidemandsoplæring i compliancereglerne, er imidlertid et ”no-go”. Der skal undervises centralt. Meget enkelt, fordi det - som udgangspunkt - vil være mere besværligt at følge reglerne end at ”hoppe over, hvor gærdet er lavest”. Der opstår imidlertid sjældent den samme fortrolighed i en holdundervisningssituation, som ved sidemandsoplæring, og derfor vil alle ”unoderne” som udgangspunkt, ikke blive videreformidlet i holdundervisning.
Konklusion – Compliance og GDPR Onboarding
Mange virksomheder lever med en endog meget smal dækningsgrad. Det er derfor også nærliggende for ledelsen i den slags virksomheder at ville springe over ”hvor gærdet er lavest”. Fordi når alt kommer til alt, hvilken indtjening er det så, at compliance medfører?
Det kan være svært at sætte kroner og ører på hvilken konkurrencefordel compliance medføre, det er dog ubestridt, at for virksomheder med en smal dækningsgrad, er det særligt vigtigt, at compliance bliver en naturlig del af kulturen, for der er ganske enkelt ikke råd til fejl i den størrelsesorden, som et omfattende brud på GDPR vil medføre.
Når virksomheder har en lav dækningsgrad, er det ofte også tilfældet, at virksomhederne omsætter for relativt store beløb. Der er med andre ord ”noget at komme efter” for de kriminelle. Så trusselsbillede overfor virksomheder med en smal dækningsgrad og høj omsætning må med andre ord antages at være særlig høj.
Det kræver selvsagt mange forskellige elementer at tilsikre den helt rigtige ansættelse. Lige fra opslaget til samtalerne. Det er i videnskaben dog relativt veletableret, at en vellykket onboarding øger sandsynligheden for, at nye medarbejdere skaber værdi i organisationen. Så, hvorfor skulle man som virksomhed, ikke gøre sig selv den tjeneste at arbejde målrettet med onboarding?
Artikelbidrag af David Ulrik Kristiansen,
Chief Data Protection Officer
Interesseret i brancherelevante nyheder med kant?
Følg gerne med på bloggen for info om seneste tiltag indenfor specialiseret juridisk rekruttering, spændende nyheder, brancherelevante artikler og links til nyttig og essentiel viden om indenfor juraens verden – altid med aktuelle kildehenvisninger, så vi sammen kan bygge vores “vidensbank” op.
PBO Juridisk Rekruttering vil gerne medvirke til at give aktørerne i branchen ”en stemme” og mulighed for at debatere, influere og nuancere emner, belyse retsområder og retspraksis, informere om væsentlige tiltag og dele brancherelevante nyheder.
Indlæg kan være i form af personlige bidrag over diverse brancheaktuelle temaer, artikler om lovændringer (varslede eller aktualiserede) etc. Eneste faste forudsætning og krav er, at bidragene er relevante for det brede segment omkring juraen og finansøkonomien.
Artikler med sponsoreret indhold eller reklameformål bringes ikke.
Disclaimer | Common sense and knowledge
Holdninger, konklusioner, råd og dåd etc. i nærværende blogindlæg er ikke et udtryk for PBO Juridisk Rekrutterings officielle holdning og afspejler ikke nødvendigvis PBO Juridisk Rekrutterings holdning.
Indhold i blogindlægget er således et udtryk for forfatterens opfattelse og forpligter alene forfatteren, ikke PBO Juridisk Rekruttering.
PBO Juridisk Rekruttering kan således ikke holdes ansvarlig for, hvorledes oplysninger i blogindlægget anvendes.
