Att etablera säkerhetskultur – hur gör man?
Informationssäkerhet uppnås i stor utsträckning genom att organisationer har förmågan att skapa förutsättningar för en säkerhetskultur hos alla delar av verksamheten. Effekterna av en väl förankrad säkerhetskultur är flera, i synnerhet:
- Riskerna för säkerhetsincidenter beroende på okunskap eller slarv minskar avsevärt, och dessutom reduceras även konsekvenser för verksamheten. Ledtiderna vid incidenter minskar eftersom personal agerar i ett tidigare skede, vilket innebär att effekterna inte hinner bli omfattande.
- Värdet i att säkerhetsåtgärder införts har tydligt motiverats inom alla delar av verksamheten, vilket i grunden krävs för påverkan av attityder avseende säkerhet. På detta sätt är det lättare att höja säkerhetsnivån i ett senare skede, om hotbilden exempelvis förändras.
Upprättade säkerhetsåtgärder avseende operativa risker må vara effektiva i teorin, men är i praktiken fruktlösa om de inte efterlevs. Hur inför man då ett grundläggande säkerhetstänkande Utbildning av personal är den självklara vägen att gå för att ta de första stegen mot att skapa förutsättningar för en god säkerhetskultur. Utbildning ingår dessutom i de högst prioriterade förbyggande åtgärderna som avsatts inom säkerhetsbudgeten för de flesta organisationer 1. Vad är då avgörande med ett sådant upplägg och helt enkelt framgångsfaktorer som bör ingå för att nå fram med denna ambition?
Redogör för de kostnader brister i säkerhetskultur inneburit historiskt. Flertalet händelser av exempelvis dataintrång inom bank, myndighet, och t.o.m. säkerhetsföretag vittnar om detta. Hur hade de kunnat undvikas med en tillräckligt god säkerhetsmedvetenhet? Vilka risker finns förknippade med den bransch man befinner sig i? Vilka blir de kortsiktiga och långsiktiga effekterna för en verksamhet, hur påverkar det anseendet och verksamhetens personal? Hög igenkänning hos målgruppen och en tydlig koppling till sammanhanget krävs för mottaglighet för ditt budskap.
Redogör för konsekvenser som bottnar i enkla misstag eller ren okunskap. Vad kan (och har) de lett till, vilka interna rutiner avseende säkerhet har negligerats, och hur hade ett strukturerat säkerhetsarbete påverkat utgången? Rutiner finns av en anledning, men om man inte påminns om varför, så är det lättare att ens beteende följer ett invant mönster. Man gör som man alltid gjort, utan att egentligen tänka igenom varför.
Förmedla vilka mindre åtgärder som drastiskt minskar risker i det dagliga arbetssättet, exempelvis för att förhindra att affärskritisk information hamnar i orätta händer, eller till och med förloras. Små steg avseende förändring är att föredra eftersom för stora avsteg ifrån vårt nuvarande arbetssätt är något vi generellt drar oss för. Risken är då stor att en strävan efter förändring misslyckas på grund av en orimligt satt ambitionsnivå.
Väck tankarna på det faktiska värdet i den information som hanteras inom organisationen. Hanteras den utifrån sitt affärskritiska värde? När bilagor skickas i mail, i samtal på väg till arbetet, eller på affärsresa och den bärbara datorn innehåller sekretessbelagda kundavtal? Genom att få upp ögonen för sina dagliga förehavanden är det mycket enklare att inse vad man kan förbättra och de risker det är nödvändigt att få upp ögonen för.
Befäst säkerhetsmedvetenheten du skapat genom att repetera budskapet, med jämna mellanrum. Varför inte låta kreativiteten flöda och utforma en säkerhetsfrågesport internt som väcker tävlingsinsikten, eller skapa utskick med nyheter inom säkerhetssfären? För att etablera en god säkerhetskultur är en utbildning som punktinsats en bra start, men inte tillräckligt för hållbarhet över tid.
Det tar tid och det krävs engagemang för att etablera en säkerhetskultur, men ansträngningarna leder till en höjd säkerhetsnivå, ger konkurrensfördelar, och stärker verksamhetens varumärke. Frågan är om du vidtagit de nödvändiga åtgärder som krävs för att skydda din verksamhets tillgångar?
Referenser
1. http://www.pwc.com/gx/en/issues/cyber-security/information-security-surv…