Så skapar du en stark intern säkerhetskultur

2 januari, 2024

Den mänskliga faktorn är fortfarande den svagaste länken när det kommer till frågor om informationssäkerhet. 82% av cyberattackerna under 2022 berodde på ett mänskligt fel enligt Verizon (2022 Verizon Data Breach Investigations Report). En stark säkerhetskultur är därför avgörande både för att minimera risker och för att främja en trygg och hälsosam arbetsmiljö. Men vad menas med säkerhetskultur? Och hur skapar man en stark säkerhetskultur på arbetsplatsen?

FOI tog nyligen fram en definition för säkerhetskultur:

”Gemensamma tanke-, beteende- och värderingsmönster som uppstår och utvecklas i ett socialt kollektiv genom kommunikativa processer baserade på inre och yttre krav, som traderas till nya medlemmar och som har implikationer för informationssäkerheten.”

Säkerhetskulturen handlar alltså i hög grad om hur vi värderar och delar kunskap kring säkerhet emellan oss, även hur vi rent fysiskt gör i vårt dagliga arbete. För att skapa en stark säkerhetskultur behöver vi därför påverka både attityder och vardagliga beteendemönster genom ledarskap, utbildning och tydliga processer.

Här är några steg som kan hjälpa till att etablera och främja en säkerhetskultur:

 

Tydlig ledning och engagemang

En förutsättning för att skapa en säkerhetskultur är att ledningen är engagerad. Forskning från Göteborgs universitet visar att när chefen får utbildning och kunskap påverkar det även medarbetarna till det bättre. För att uppnå en god säkerhetskultur på en arbetsplats krävs att ledningen är tydligt engagerad, prioriterar och hanterar säkerhetsfrågor på alla nivåer i verksamheten. De behöver också visa att de är en del av denna kultur genom att följa de rutiner och riktlinjer som finns – det skickar en stark signal om att säkerhet är en prioritet.

 

Utbildning och medvetenhet

Medarbetarna beskrivs ofta som den svagaste länken i säkerhetskedjan, enligt t.ex. Verizon beror 82 % av cyberattackerna under 2022 på ett mänskligt fel. Trots detta kommer utbildning av medarbetarna först på femte plats över säkerhetsåtgärder för företag i Sverige, fast det är där insatser kan löna sig som bäst. Regelbunden utbildning om säkerhetsförfaranden och risker ökar säkerhetstänkandet bland medarbetarna och gör vaksamhet, ifrågasättande och rapportering av händelser till vardag. Ofta handlar det om att förstå varför man ska göra på ett speciellt sätt, så se till att alla anställda förstår vikten av att följa säkerhetsrutiner.

 

Inrätta tydliga riktlinjer och processer

Organisationen behöver utveckla och kommunicera klara, tydliga riktlinjer och procedurer för säkerhetspraxis. Detta inkluderar rutiner för nödsituationer och hur man rapporterar incidenter (incidentrapportering är det dessutom lagkrav på för många verksamheter). Att en riktlinje ligger på intranätet betyder inte att den är kommunicerad, utan det sker när säkerhet tas upp på personalmöten och introduktioner så att personalen läser och tar till sig den.

Enkelhet och tydlighet är två viktiga aspekter för att skapa en säkerhetskultur. Även om människor gärna vill göra rätt, så kommer vardagen i vägen med datastrul, deadlines och stress. Det betyder att det måste vara enkelt att göra rätt, och inte ta onödig tid. Eftersom nya rutiner tar längre tid i början är det viktigt att ledningen är tydliga med att det är ok och ger utrymme för det.

Det bästa vore naturligtvis att ha en IT-miljö där det inte går att göra fel. Även om det länge pratats om ”security by design” (inbyggd säkerhet) så är det långt kvar innan vi är där. Under tiden får vi se till att de verktyg som används är ändamålsenliga och att de anställda vågar säga ifrån om de inte är det. Annars finns risken att de hittar på egna lösningar – ”shadow-IT” (it-resurser som används utan företagets vetskap eller godkännande) och då har man som arbetsgivare misslyckats flera gånger om.

 

Alla bär ansvaret

Även om företaget har en säkerhetsavdelning så har alla anställda ett ansvar för säkerheten – ungefär som att alla har ett ansvar att t.ex. redovisa kvitton fast man har en ekonomiavdelning. Ju mer de anställda känner sig involverade i processen att utveckla och förbättra säkerhetsrutiner, desto större blir engagemanget för säkerhetskulturen och viljan att följa rutinerna. En känsla av ansvar främjar också en öppen kommunikation om säkerhetsfrågor. Anställda ska känna sig bekväma att rapportera risker eller incidenter utan rädsla för repressalier – man måste våga rapportera brister och våga säga ifrån när man upptäcker fel. Uppmuntra och belöna anställda för att följa säkerhetsrutiner och bidra till en säker arbetsmiljö. Detta kan öka motivationen och engagemanget för säkerhet.

Genom att kombinera dessa åtgärder kan du bidra till att skapa och stärka en säkerhetskultur på arbetsplatsen. Det är en kontinuerlig process som kräver engagemang och deltagande från alla nivåer av organisationen – inte minst ledningen. Behöver du stöd i arbetet för att stärka er säkerhetskultur finns 2Secure här som en extra resurs.

 

5 råd – Så skapar du en stark säkerhetskultur på arbetsplatsen:

 

1. Se till att ledningen är engagerad

Säkerhetskulturen börjar med tydligt ledarskap och engagemang från högsta ledningen. Ledningen bör prioritera och aktivt delta i säkerhetsfrågor på alla nivåer. Genom att följa etablerade rutiner och riktlinjer sänder de en stark signal om att säkerhet är en prioritet.

 

2. Utbilda regelbundet

Regelbunden utbildning om säkerhetsförfaranden och risker är avgörande. Medarbetarna utgör ofta den svaga länken, ökad medvetenhet och kunskap minskar risken för mänskliga fel. Utbildningen bör fokusera på att förklara varför vissa säkerhetsåtgärder behövs för att skapa förståelse och efterlevnad.

 

3. Sätt upp tydliga riktlinjer och processer:

Etablera och kommunicera klara riktlinjer och procedurer för säkerhetspraxis. Detta inkluderar nödsituationer och rapportering av incidenter, som kan vara ett lagkrav. Säkerhetsinformation bör kommuniceras regelbundet på personalmöten och introduktioner för att säkerställa att alla anställda är medvetna om och följer säkerhetsrutinerna.

 

4. Gör det enkelt att göra rätt

Skapa en säkerhetskultur genom att göra det enkelt att göra rätt och minimera onödig tidsåtgång. Tydlig ledning bör betona att det är acceptabelt att ta den extra tiden för att följa säkerhetsrutiner. Verktygen som används bör vara ändamålsenliga och uppmuntra anställda att rapportera om de upplever brister eller ineffektivitet i systemen.

 

5. Dela ansvaret och kommunicera öppet

Alla anställda, oavsett position, har ett ansvar för säkerheten. Främja en känsla av delaktighet och ansvar för att utveckla och förbättra säkerhetsrutiner. Skapa en öppen kommunikationskultur där anställda känner sig bekväma att rapportera risker eller incidenter utan rädsla för repressalier. Uppmuntra och belöna anställda för att följa säkerhetsrutiner för att öka motivationen och engagemanget för säkerheten.

 

Integrera råden i verksamheten för att skapa en säkerhetskultur som är hållbar och främjar en trygg och hälsosam arbetsmiljö över tid.

Behöver du vägledning i ditt strategiska säkerhetsarbete, läs mer om våra tjänster inom området för informationssäkerhet.

 

 

 

Källa: https://www.verizon.com/about/news/ransomware-threat-rises-verizon-2022-data-breach-investigations-report