Många företag jobbar med att försöka utbilda personalen i it-säkerhet, för att reducera fel som beror på den mänskliga faktorn. Med begränsad framgång. Något otippat kan det bero på att man i många fall har för hög teknisk säkerhetskompetens i teamen.

Det framgår av en studie från amerikanska säkerhetsorganisationen SANS Institute från i fjol.
Hela 79 procent av dem som leder säkerhetssatsningar har en mycket teknisk bakgrund, enligt SANS studie. Och det kan alltså vara ett problem.

– Ju mer du är expert på något, desto sämre är du ofta på att kommunicera det, säger Lance Spitzner på SANS Institute.

De som lyckas bra med att faktiskt utbilda personalen tacklar det här genom att ta in en professionell informatör, kanske från den egna kommunikationsavdelningen, till säkerhetsteamet.

– Kommunikationsavdelningen har också alla relationer upparbetade som krävs för att få ut budskapet, säger han.

Läs också: Företagen har börjat förbereda sig för GDPR. Fyra cio:er berättar hur!

I mindre organisationer får man snarare börja i andra änden, och utbilda en säkerhetsexpert i kommunikation. Lance Spitzner själv leder ett program som heter ”Securing the Human” på SANS Institute.

– Bland det första jag säger till mina elever är att om du inte gillar människor, då är du på fel utbildning, säger han.

Men det förutsätter förstås att man menar allvar och faktiskt vill utbilda sin personal. Spitzner säger att många sådana satsningar istället finns där av rena compliance-skäl.

– Det är framtaget av någon som vill kryssa i en ruta. Satsningen ändrar inget beteende för att den inte är gjord för att ändra något beteende.