Guide: Det här måste din it-policy innehålla

Vad anser du är det viktigaste att få med i en modern it-policy idag?

– I arbetet med vår it-policy på Sigma Technology fokuserar vi på medvetenhet och att vägleda användarna till ett strukturerat, säkert och effektivt arbetssätt, berättar Andreas Lamkén.

Grunden ligger i att skapa tydliga rutiner, gärna automatiserade, för vanliga processer som inloggningar, datalagring och åtkomst. Men minst lika viktigt är att göra det begripligt för medarbetarna.

En policy ska inte bara samlas i en pärm eller ligga bortglömd på intranätet utan den måste kunna fungera i vardagen.

Hur brukar ni resonera kring användningen av molntjänster, AI-verktyg och tredjepartsappar i er policy?

Teknikutvecklingen springer snabbt, och det gör också riskerna. I dag är det vanligt att anställda laddar ner tredjepartsappar eller börjar använda AI-verktyg på eget initiativ – ofta med goda intentioner, men utan att tänka på säkerhetsaspekterna.

– Alla tjänster som kan lagra eller hantera intern information ska granskas och godkännas centralt i organisationen, säger Lamkén.

En central fråga handlar om identitetshantering. Här finns mycket att vinna både i säkerhet och användarvänlighet.

– En viktig aspekt som har stor påverkan på beslut är möjligheten att knyta inloggning och användarhantering till organisationens befintliga identitetslösning. Det ger en betydligt säkrare användarhantering och ett enklare användande för de anställda.

Vilka fallgropar ser du när företag skapar en it-policy – vad glöms ofta bort?

Att skriva ett dokument är en sak – att det faktiskt efterlevs är en annan. En vanlig miss enligt Andreas Lamkén är att it-policyn skrivs från ett teknik- eller säkerhetsperspektiv utan att ta hänsyn till användarnas behov.

– Det är lätt att missa användarperspektivet för en policy, både vad gäller att läsa den och förstå den faktiska efterlevnaden. En policy bör testas, utvärderas och justeras, säger han.

Kommunikationen är central. En bra policy behöver lanseras på ett sätt som engagerar de som ska följa den.

– Glöm inte bort att kommunicera ut policyn på ett begripligt sätt till användarna och komplettera helst med träning i form av e-learning eller interna seminarier. Jag brukar till exempel hålla återkommande webbinarier för våra chefer för att sprida kunskapen i organisationen och uppdatera på nyheter och planer.

Hur ser du på balansen mellan säkerhet och användarvänlighet i en it-policy?

– Säkerheten måste alltid komma i första hand men självklart är användarupplevelsen viktig. Gör det enkelt att göra rätt, uppmanar Andreas Lamkén.

Det handlar inte om att kompromissa med säkerhet, utan om att förstå verkligheten på arbetsplatsen. Genom att lyssna på olika användargrupper i organisationen kan man hitta lösningar som håller hög säkerhet utan att upplevas som bromsklossar.

Vilken roll spelar utbildning och förankring av policyn hos medarbetarna?

För att en policy verkligen ska fungera i praktiken måste den vara förankrad hos användarna. Och det kräver utbildning, dialog och förståelse.

– Det är viktigt att skapa en förståelse bland medarbetarna om syftet med olika policy och vägleda dem till ett bra arbetssätt. Om användarna ser en policy som ett onödigt hinder kommer de ofta att söka sig runt denna, säger Andreas Lamkén.

Det är därför Sigma Technology lägger stor vikt vid att löpande utbilda personalen – inte bara en gång per år, utan kontinuerligt och nära verksamheten.

Har du behövt revidera er it-policy efter en incident eller extern förändring, som nya regler eller hot?

– Idag är det geopolitiska läget ett tydligt exempel på externa förändringar som påverkar IT-policyn, till exempel i val av tjänster, mjukvaror och enheter.

Tidigare var hot från statsaktörer något som mest diskuterades i teorin. Men i dag är det en konkret realitet även för svenska företag.

– Hot från till exempel statsaktörer var för några år sedan mest teoretiska för många organisationer, men har idag blivit högst reella.