Vi har sett en klar økning av cyberangrep rettet mot ansatte i offentlige og private virksomheter, og antallet vellykkede angrep forsterker inntrykket av «dårlig» sikkerhetskultur i norske organisasjoner og virksomheter. Alle kan bli utsatt for angrep, men mangelfull opplæring og bevisstgjøring av ansatte øker risikoen betraktelig. Ett feilklikk kan gi fiendtlige stater og kriminelle tilgang til digital informasjon og systemer. Konsekvensene blir ofte store målt økonomisk og omdømmemessig – og rammer i ytterste konsekvens større deler av samfunnet.
Alle har sin egen oppfatning av hva «sikkerhetskultur» er, og tilpasser ofte sin tilnærming til «sikkerhet» avhengig av situasjonen. Du er kanskje mer på vakt ved kontorpulten enn når du surfer hjemme i stua, og i noen roller er du mer bevisst på sikkerheten enn i andre. I dette innlegget tar vi for oss «sikkerhetskultur» i arbeidssituasjonen, men vil samtidig understreke at du bør ivareta god sikkerhetskultur uavhengig av hvor du er og hva du gjør.
For å forstå omfanget av din virksomhets «sikkerhetskultur», bør du se på sammenhengen av flere faktorer. En vurdering av hvorvidt sikkerhetskulturen er «god» eller ei kan derfor baseres på en analyse av de ansattes:
– forståelse for sikkerhet,
– kunnskap om informasjonssikkerhet generelt,
– holdning til virksomhetens sikkerhetsprosedyrer,
– kommunikasjon om virksomhetens sikkerhet,
– etterlevelse av regelverk og rutiner,
– kjennskap til de uskrevne sikkerhetsreglene og
– ansvar den enkelte ansatte kjenner for sikkerheten i virksomheten.
Syv råd vi i Watchcom har for å bygge en god sikkerhetskultur i din virksomhet:
1. Kartlegg nivået i virksomheten for å vurdere hvor tiltak bør settes inn
2. Gjennomfør øvelser og opplæring – på samme måte som brannøvelser forbereder de ansatte på en eventuell brann, vil øvelser innenfor cybersikkerhet gi forutsigbarhet ved et eventuelt cyberangrep
3. Hold virksomheten informert om nye trusler og trender, og hvordan virksomheten har tenkt å sikre seg mot disse
4. Hold sikkerhetspolicyen oppdatert – sørg for at alle i virksomheten er kjent med den nyeste versjonen og vet hvor de finner denne
5. Følg opp ansattes praksis og vurder sanksjoner for å ikke følge policy
6. Tydeliggjør den enkeltes ansvar for sikkerheten
7. Gi rom for vekst og feiling – vis at ansatte ikke trenger å frykte noe dersom de rammes av en hendelse, og senk terskelen for å melde hendelser
Mennesket må bli en sentral del av sikkerhetsstrategien, og ved å utnevne «sikkerhetsambassadører» som støtter og veileder de ansatte bidrar ledelsen til å skape en positiv organisasjonskultur hvor sikkerhet er et viktig element. Åpenhet om hendelser og funn er viktig for å minne oss alle på at sikkerhet er en laginnsats og at de ansatte er de viktigste barrierene mot uønskede cyberangrep.
Kultur har en enorm påvirkningskraft og kan ha stor innvirkning på informasjonssikkerheten i en virksomhet. La oss bruke sikkerhetsmåneden til å etablere sikkerhet som del av kulturen, og lære av hverandres erfaringer. Så gjør vi det samme neste måned, resten av året, neste år, og videre. Slik kan vi få ned antallet cyberangrep og gjøre samfunnet sikrere for oss alle.
Tekst skrevet av Mark Stegelmann, avdelingsleder for rådgivning i Watchcom.