Problemet med skygge-it
Jeg har lagt mærke til et gentagende mønster: De mest dedikerede medarbejdere er ofte dem, der skaber de største sikkerhedsrisici. Det er ikke, fordi de forsøger at skabe problemer – de forsøger bare at passe deres arbejde.
Tag nu "Sarah", en projektleder jeg for nylig talte med. Hun skulle sende et afgørende tilbud til en kunde inden en deadline kl. 17. Hun forsøgte at vedhæfte filen, men hendes mailprogram stoppede hende: "Vedhæftet fil overstiger 25 MB." Og virksomhedens værktøj til sikker filoverførsel var gemt bag en VPN, som hun ikke havde benyttet i månedsvis.
Sarah havde ikke tid til at nulstille adgangskoder eller kæmpe med tekniske forhindringer. Hun uploadede filen til sin personlige Dropbox, sendte linket og nåede sin deadline. Kunden var glad, men Sarah havde - uden at tænke over det - flyttet følsomme virksomhedsdata over i en usynlig silo, helt uden for virksomhedens sikkerhedskontrol.
Det er præcis den type kløft mellem viden og handling, vi undersøger i vores whitepaper.
Download whitepaperet “Bridging the Knowledge–Action Gap” og få indsigt i, hvorfor viden om sikkerhed sjældent bliver til sikker adfærd.
Ond vilje er sjælden, pragmatik er permanent
Da vi gennemførte vores 2025-undersøgelse blandt 2.000 nordiske medarbejdere, bekræftede tallene det, jeg ser i undervisningslokalet: 28,3 % indrømmer at bruge ikke-godkendt software eller AI-værktøjer.
Som fagperson inden for GRC ser jeg dette som et problem med "skygge-it" (Shadow IT). Det er en massiv blind vinkel, hvor it-afdelingen mister kontrollen over angrebsfladen. Når data lever på uovervågede personlige konti, bliver det umuligt at verificere jeres compliance eller have styr på sikkerheden. I kan ikke beskytte – eller gennemføre en audit af – det, I ikke kan se. Men jeg ser det også som et behov for bedre værktøjer.
Læs hvordan NorthGRC’s Awareness Module kan hjælpe organisationer med at styrke deres sikkerhedskultur.
Udforsk modulet her
Fra forbud til partnerskab
Jeg interviewede for nyligt adfærdsdesigner Casper Danholt Iuul, som påpegede noget vigtigt: Vi skal undgå lange lister med forbud. En nej-kultur driver kun skygge-it længere ned under overfladen. Hvis jeres sikkerhedspolitikker ignorerer virkeligheden i en travl arbejdsdag, ændrer folk ikke deres behov; de ændrer bare deres værktøjer uden at fortælle jer det.
Vejen frem: Fra friktion til flow
For at vende udviklingen anbefaler jeg disse tre skridt:
- Undersøg hvorfor: Hvis en tredjedel af jeres team bruger skygge-it, er det sandsynligvis fordi jeres officielle værktøjer ikke fungerer godt nok. Min erfaring er, at en "friktions-audit", hvor man ser på, hvorfor de godkendte værktøjer ikke benyttes, er langt mere effektiv end en reprimande. Hvis den sikre vej er for besværlig, vil folk altid vælge den hurtige vej.
- Bed om feedback: Jeg opfordrer altid til at ændre samtalen fra "Lad være med at bruge det her" til "Hvordan kan vi gøre dette sikkert?". Hvis medarbejderne føler, at de kan foreslå nye værktøjer uden et bureaukratisk mareridt, vil de holde jer orienteret.
- Sæt risikoen i kontekst: Tal ikke kun om "virksomhedens politik". Jeg oplever, at forklaringen af, hvordan skygge-it sætter medarbejdernes specifikke arbejde og omdømme på spil, får budskabet til at hænge fast. Når risikoen føles personlig, bliver det sikre valg nemmest.
Compliance og sikkerhed handler ikke om at bygge en mur; det handler om at bygge en bedre vej. Når den sikre vej også er den mest effektive, reduceres brugen af skygge-it af sig selv.
Se hele interviewet med adfærdsdesigner Casper Damholt Iuul her
