Digital sikkerhetskultur


Hvorfor snakker vi om kultur?

Den kulturen vi er en del av til enhver tid, enten det er som nasjon eller organisasjon, gir oss et sett av verdier som hjelper oss å forstå omgivelsene. Disse verdiene utstyrer oss med et kompass som sier ”hvordan vi gjør ting her hos oss”.

Definisjon

Det finnes flere definisjoner på digital sikkerhetskultur i virksomheter, og selv om det ikke ser ut til å være én definisjon som fagfolk enes om, så mener vi at denne er dekkende:
Sikkerhetskulturen er en del av organisasjonskulturen, og handler derfor om hvilke verdier som ligger til grunn for den enkeltes valg for håndtering av informasjon og systemer. Sikkerhetskultur er dermed den felles oppfattelsen virksomheten har som har positive eller negative konsekvenser for informasjonssikkerheten
(kilde: Difi’s veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet)

Kartlegging

Det er viktig at ledere kjenner til sikkerhetskulturen i egen virksomhet slik at de forstår hvordan medarbeiderne forholder seg til digitaliseringen og digitale trusler. Lederne ønsker at de ansatte skal være motstandsdyktige mot slike trusler, samtidig som de gjør sikre valg når de bruker virksomhetens datasystemer. Da lykkes de med sikkerhetsarbeidet.
En virksomhets digitale sikkerhetskultur kan beskrives ved hjelp av følgende nøkkelkomponenter, se figur. Ved å kartlegge disse, får man et grunnlag for å kunne beskrive og forstå den digitale sikkerhetskulturen i virksomheten på en helhetlig måte:

 

1. Felleskap

Kulturer formes av individer som inngår i et felleskap. Samtidig vil kulturen forme individene som er en del av den. Er de ansatte bevisst på at de er en del av et cyber-felleskap på jobb? Hvordan dannes felles normer for digital sikkerhet, og hvordan påvirker felleskapets normer adferden til hver enkelt?

2. Styring og kontroll

Et felleskap kan reguleres ved hjelp av styring og kontroll. Men kjenner vi til hvordan felleskapet selv mener det bør reguleres? Alle ønsker frihet til å gjøre det de selv vil, men samtidig ønsker vi også å være trygge og sikre når vi gjør oppgaver på nett. Hva er den riktige balansen mellom styring og kontroll for å kunne sikre virksomheten mot uønskede hendelser og datakriminalitet, og den enkeltes behov for privatliv?

3. Tillit

I en virksomhet er man avhengig av tillit mellom menneskene som jobber der og mellom menneskene og systemene for å oppnå effektiv drift. De fleste aksepterer at det finnes systemer på jobb som logger en del av aktiviteten i løpet av dagen, men man stoler som regel på at denne informasjonen ikke blir utnyttet. En virksomhet lagrer også mye informasjon om de ansatte og potensielt mye informasjon om andre som f.eks. kunder og leverandører. Hvor stor grad av tillit man har til systemene og menneskene i det digitale livet har stor betydning for hvordan man velger å handle i ulike situasjoner.

4. Risikoforståelse

Risikoforståelse er hvordan den enkelte bedømmer risiko for ulike aktiviteter og trusler på nett. Hvordan personer og virksomheter oppfatter risiko varierer, både fordi den enkelte har ulike forutsetninger for å bedømme det, og fordi trusselbildet varierer fra virksomhet til virksomhet.

Risikoforståelse har gjerne sammenheng med tidligere erfaringer, enten i fellesskapet eller hos den enkelte. Vi vet også fra studier, at alder er en faktor som spiller inn.

Studier viser også at man har høyere toleranse for å ta risiko jo mer kompetent man er innenfor et felt. Det er altså mulig at medarbeidere med mye kunnskap om informasjonssikkerhet, kan overvurdere sin egen evne til å stå i mot trusler og derfor ta høyere risiko.

Hvis man vet noe om risikoforståelsen til de ansatte kan man lettere lage rutiner og kontrollmekanismer som bedre beskytter både virksomheten og den enkelte.

5. Vilje til digitalisering

Det vil alltid være en stor forskjell i hvilken innstilling de ansatte har til teknologi generelt og informasjonssikkerhet spesielt. Det vil også være en stor forskjell virksomheter i mellom. I en teknologibedrift er det sannsynligvis en høyere andel ansatte med høy kompetanse innen cybersikkerhet, sterk vilje til digitalisering og større vilje til å ta risiko, enn i andre bedrifter som ikke er like avhengig av slik teknologi.

6. Kompetanse

Virksomheter forventer at de ansatte skal følge reglene, og ikke utsette seg selv eller virksomheten for unødig risiko. Da kreves det kunnskap. Men vet man nok om hvordan de ansatte foretrekker å lære om informasjonssikkerhet? Hvem lærer de helst fra, og hva lærer de? Er det noen personer eller miljøer som øver større innflytelse enn andre?

Virksomheten må sørge for at de ansatte kan det som skal til for at de skal ta de riktige sikkehetsvalgene på jobb, og det må brukes metoder som faktisk motiverer og skaper læring hos de ansatte. For noen er e-læring eller kurs og foredrag det riktige. For andre passer dilemma-trening eller bruk av ”sikkerhetsambassadører” best.

Når en kartlegger den digitale sikkerhetskulturen, får man innsikt i hvordan akkurat din virksomhet fungerer.

7. Interesse

Det vi er interessert i former vår innstilling, evner og kunnskap. Interessen vår påvirker hvilke mennesker vi søker mot og hvem vi lærer fra. Med interesse kommer bevissthet, nysgjerrighet og tid. Dette er hjørnesteiner i læring. Det er derfor fristende å anta at de som er interessert i teknologi og informasjonssikkerhet har et fortrinn fremfor de som ikke er interessert.

Kunnskap om dette kan gi ny innsikt i hvilke metoder virksomheten bør bruke for å motivere og lære opp de ansatte.

8. Adferd

Det er som regel noen typer sikkerhetsadferd som blir applaudert, mens man gjerne advarer mot det vi regner som mindre sikkert. Hva som er” best-practice” innenfor informasjonssikkerhet endrer seg over tid, så de ansatte må ha jevnlig påfyll av slik kunnskap.

For virksomheten er det viktig å vite om de ansatte følger reglene som er trukket opp, og at de har en adferd som bidrar til at sikkerheten blir ivaretatt. Når en kartlegger sikkerhetsatferden, kan en også få innsikt i om opplæring har hatt ønsket effekt.

 

En metode for kartlegging som dekker disse åtte komponentene er beskrevet i denne NorSIS-rapporten:

https://norsis.no/wp-content/uploads/2016/09/The-Norwegian-Cybersecurity-culture-web.pdf

Hvordan kan ledere bidra til å bedre informasjonssikkerheten i egen virksomhet?

  • Det er lederens ansvar at informasjonssikkerheten i virksomheten ivaretas. Det krever at lederen har nødvendig kompetanse. Difi har utviklet et e-læringskurs i informasjonssikkerhet for ledere som er tilgjengelig for alle.  
  • Å utvikle eller påvirke kulturen i virksomheten er en kontinuerlig prosess som krever en helhetlig tankegang og innsats på mange områder samtidig. Ledere bør vurdere om virksomheten har en digital sikkerhetskultur som faktisk bidrar til at virksomheten når sine mål på en sikker måte. Kartlegging og andre former for måling bidrar til økt situasjonsforståelse.
  • De ansatte må gis nødvendig kunnskap, og denne må holdes ved like. Opplæring og bevisstgjøring setter de ansatte i stand til å ta sikre valg på arbeidsplassen.
  • Sikkerhetstiltak er ofte kostbart, og både for mye eller for lite sikkerhet kan forhindre at virksomheten når sine mål. Ledelsen må derfor sørge for at det finnes styringssystemer for informasjonssikkerhet for å effektivt kunne koordinere innsatsen på sikkerhetsområdet. Les mer:
  • Vær et godt forbilde, og vær tydelig på hvordan du vil at sikkerhetskulturen skal være i din virksomhet. 

Hvordan kan hver enkelt bidra til å bedre informasjonssikkerheten i egen virksomhet?

Det er lederens ansvar at informasjonssikkerheten i virksomheten ivaretas. Men; informasjonssikkerheten på jobb er noe alle skal bry seg med. Slik kan du bidra:

  • Følg regler og rutiner for informasjonssikkerhet, de er til for å beskytte deg og de rundt deg mot digitale trusler
  • Ser du alvorlige brudd på sikkerheten på jobb? Ta ansvar og si i fra til den det gjelder, eller til nærmeste leder
  • Blir du utsatt for svindelforsøk eller andre former for datakriminalitet? Rapporter om hendelser og trusler
  • Vet du nok om hvordan du skal beskytte deg mot digitale trusler? Hvis ikke, sørg for at du får opplæring, eller søk selv opp den informasjonen du trenger.