Undersökningen baseras på intervjuer med 212 IT-chefer i den privata sektorn, där 86 procent av de svarande anser att de egna medarbetarna utgör det största IT-relaterade säkerhetsproblemet. Problemet bottnar i att personalen i hög grad ignorerar, inte är medvetna om eller har fått otillräcklig information om företagets säkerhetsregler, samtidigt som de gör misstag, spionerar och i vissa fall medvetet skadar företaget.

Alla IT-chefer har ungefär samma erfarenheter, oavsett storleken på deras företag eller var det är beläget. Trots att man har infört säkerhetsregler och utbildningsinsatser, inträffar det ständiga säkerhetsincidenter till följd av den mänskliga faktorn och på grund av individer som inte är lojala eller rent av hyser agg mot sina företag.

31 procent av IT-cheferna anser att den mest sannolika orsaken bakom incidenterna är att medarbetarna medvetet ignorerar säkerhetsregler, 37 procent hänför problemen till den mänskliga faktorn, 13 procent anför otillräcklig utbildning och bristande kännedom om gällande regler, medan fem procent lyfter fram industrispionage.

Undersökning har fått Clavister att ifrågasätta nyttan av befintliga säkerhetsprodukter och regelverk. Man har därför sett till vad företagen konkret kan göra för att ta itu med de brister som kan hänföras till människans natur.

-Syftet med ett säkerhetsmässigt regelverk är ganska enkelt: att hålla illvilliga användare borta från nätverket, samtidigt som man skapar möjlighet att övervaka de interna användare som utgör en risk. Att säkerställa att verksamheten bedrivs enligt gällande regelverk är tyvärr ingen enkel uppgift, säger Andreas Åsander, produktchef hos Clavister.

Dokument med säkerhetsregler tenderar dock att bli väldigt långa och tekniska. Enligt Åsander skrivs de helt enkelt inte på ett sätt som den genomsnittliga medarbetaren kan ta till sig.

-För att reglerna ska ha en chans att bli åtlydda krävs det att användarna förstår dels varför de är viktiga, dels förstår vad reglerna innebär för dem personligen och professionellt, fortsätter Andreas Åsander.

Istället för att avfärda efterlevnaden som ett övermäktigt problem har Clavister tagit fram en lista med sex rekommendationer som alla företag bör överväga:
1. Författa regeldokument som är lätta att läsa och förstå. Undvik komplicerade och tekniska termer, inför istället flitig användning av exempel som åskådliggör varje punkt.
2. Utbilda användarna. Det är absolut nödvändigt att användarna förstår varför reglerna behövs och vad de innebär för dem både personligen och i arbetet.
3. Inför konsekvenser för dem som inte respekterar regelverket.
4. Gör det enkelt att göra rätt. Inför inte bara en regel som fastslår att något är förbjudet; investera hellre i utrustning, exempelvis ett surffilter, som gör det omöjligt att göra fel saker.
5. Skapa en hierarki med åtkomsträttigheter. Principen är att varje användare bara ska ha åtkomst till det som han eller hon behöver för att kunna utföra sitt arbete.
6. Övervaka och förbättra. Följ upp regelverkets efterlevnad med hjälp av säkerhetsinformation och system för loggning av säkerhetsrelaterade händelser samt med manuella stickprov. Var inte rädd för att uppdatera regelverket, det är ett levande dokument. Om användarna inte förstår, ge fler och tydligare exempel. Om reglerna är svåra att uppfylla, inför bättre supportfunktioner, de finns där för att hjälpa användarna.

Not: Samtliga siffror, om inte annat anges, kommer från undersökningsföretaget YouGov. Enkäten besvarades av 212 IT-chefer eller motsvarande befattningshavare inom privat sektor under tiden 22-29 september 2008. Undersökningen utfördes online.