Alltför restriktiva säkerhetsregler kan sätta krokben för sig själva. Risken är att det blir alldeles för svårt för användarna att jobba helt enkelt.

Så vad händer då? Jo då hittar användarna vägarna runt säkerhetsreglerna. Resultatet är mindre säkerhet och lägre produktivitet.

Vår amerikanska systersajt CSO har tittat närmare på vad det är som lockar användare att ta omvägar runt säkerheten.

Krångliga krav på lösenord

Lösenord är säkerhetens stapelvara. Trots det är reglerna kring lösenorden på många ställen så komplexa att de i stället för att skydda blivit till sårbarheter. Det kan handla om krav på alldeles för långa lösenord med stora och små bokstäver, siffror och symboler. Dessutom måste de bytas efter bara några månader.

Läs också: Botnäten växer och växer. Varför är de så svåra att stoppa?

För att hålla reda på lösenorden som nästan är omöjliga att memorera så skriver många ner dem, eller ännu värre, lagrar dem i datorn.

Säkerhetsexperten Richard White, som skrivit boken Cybercrime: The madness behind the methods, berättar för CSO om att ett företag han arbetade med råkade ut för ett hack som kunde spåras tillbaka till en anställd som lagrat sina inloggningsuppgifter elektroniskt.

Det betyder inte att vi inte ska ha lösenord konstaterar både han och andra säkerhetsexperter. De rekommenderar organisationer att vara lite smartare och hålla ner krånglet i lösenorden.

Behov av att dela information

Ett annat problem är delade lösenord enligt Tim Crosby, säkerhetsexpert på Spohn Security. För anställda är det helt enkelt ett sätt att ge sina kolleger tillgång till information på sina filer.

Det används på alla nivåer på företagen – från personer i ledningsgruppen som låter sina assistenter använda lösenorden till personer längre ner i kedjan som vill samarbeta eller kunna täcka upp för varandra när någon är ledig.

Tim Crosbys råd för att motverka det är att it-säkerhetsteamen arbetar med verksamheten för att tydligare identifiera vilka användare som behöver tillgång till vilken information och sedan skapa regler för hur man säkrar en delad tillgång till den informationen.

Logga in, logga in, logga in – jag blir galen på logga in

Som om det inte vore nog att lösenorden är sjukt krångliga – på många arbetsplatser krävs dessutom en mängd olika inloggningar för att kunna komma åt de system man behöver. Ett irritationsmoment som många anställda upplever som hämmande för produktiviteten.

Läs också: Så funkar tvåfaktorsinloggning – slå på det genast

Enligt Alvaro Hoyos, cso på Onelogin, ett företag som sysslar just med molnbaserad autentisering för att minska inloggningsmängden, försöker många därför att ta sig runt inloggningskaoset. Ett sätt är att föra över data från de säkra applikationerna till ett ställe som de lättare kommer åt. På så sätt kan de lämna sin plats och vara borta några minuter utan att behöva logga in igen när de kommer tillbaka.

Rob Stroud som är analytiker på Forrester konstaterar att det finns flera lösningar på det problemet. Det kan handla om identitetshantering, samlade inloggningar – så kallade single sign-on – analysverktyg som kan särskilja om mönster plötsligt avviker från en anställds normala mönster vilket kan tyda på ett potentiellt hot, eller biometrilösningar.

Många sätt att få med sig data

Uppfinningsrikedomen för att underlätta sitt arbete är stor. Richard White berättar om hur han sett en anställd fotografera skyddad information på sin dator så att han kunde ta den med sig och göra klart jobbet.

Andra berättar att de sett medarbetare kopiera filer, överföra dokument och använda sig av fildelningsappar som inte är tillåtna.

– Många chefer inser inte hur enkelt det är att ta med sig information, säger Tim Crosby.

Han konstaterar att det beteendet petar hål på alla de skyddslager man har.

– Det är inte ett nytt dilemma, utan en del av säkerhetsparadigmet. Varje gång du gör något mer säkert så blir det mindre användarvänligt. Människor är smarta och de kommer att hitta vägar runt säkerheten, särskilt om de inte förstår varför den finns.

Ett sätt att minska problemen är att klassificera sina data bättre så att bara de verkligt skyddsvärda får den högsta säkerheten medan mindre känslig information blir mer lättillgänglig.

Besvärligt arbetsflöde

Arbetsflöde är en annan kollisionspunkt för säkerhet och produktivitet.

Wouter Koelewijn, vice vd på Y Soft som sysslar med lösningar för utskriftshantering, säger att han inte vill lägga skulden på medarbetarna som på olika vis försöker lösa sitt arbetsflöde genom att plocka ut data vid sidan av de säkrade systemen. I stället lägger han skulden på hur systemen är designade. .

– Om du ber användarna svara på alltför många frågor eller klassificera dokument så ligger det inte i linje med vad de vill uppnå, så de hittar sina egna lösningar.

Säkerhetsexperterna som CSO talat med, tycker att företag måste investera i system som gör det enklare för medarbetarna att följa reglerna, och, kanske ännu viktigare, också automatiserar så mycket som möjligt.

– Vi måste titta på hur de här processerna flödar och lägga in säkerheten på ett lämpligt sätt baserat på risken. Det finns ingen storlek som passar alla, säger Rob Stroud.