Hvordan bygger man en god sikkerhetskultur?
Hva er en god sikkerhetskultur? Hvorfor er dette viktig, og hvordan går man fram for å bygge en god sikkerhetskultur i teamet/prosjektet/organisasjonen?
En god sikkerhetskultur er et definert sett med verdier som deles av medarbeidere i et team/prosjekt eller en organisasjon. Den er med på å påvirke alles tanker og forventninger til sikkerhet. En god sikkerhetskultur motiverer medarbeiderne til å praktisere gode IT-sikkerhetsvaner og gjør det mindre sannsynlig at en sikkerhetshendelse inntreffer.
Det er helt naturlig for IT-selskaper å ha et naturlig fokus på tekniske sikkerhetstiltak som autentisering, kryptering, brannmurer, innholdsfiltrering, programoppdateringer, osb. Dette er viktig, men det er like viktig å merke seg at tekniske sikkerhetstiltak alene ikke er tilstrekkelig for å beskytte en bedrift mot alle trusler.
-
Det anslås at 95% av alle IT-sikkerhetsbrudd skyldes menneskelige feil (tall fra IBM).
-
Samtidig blir i gjennomsnitt kun 3% av IT-sikkerhetsbudsjetter brukt til bevissthetstrening for ansatte.
Det gir selvfølgelig ikke mening at bedrifter fokuserer så lite på menneskelig adferd når menneskelige feil er den klart største årsaken til sikkerhetsbrudd. Spriket mellom disse tallene vil også fortelle oss noe om hvilket nivå sikkerhetskulturen til en organisasjon er på.
I tillegg til mer tekniske sikkerhetstiltak er det med andre ord også svært viktig å ha gode rutiner for administrasjon og opplæring av ansatte, samt å ha en plan for håndtering av sikkerhetshendelser.
Eksempler på menneskelige feil
Menneskelige feil kan utgjøre de største sikkerhetstruslene. Dette kan dreie seg om alt fra ondsinnede forsøk på å tilegne seg informasjon, til isolerte menneskelige feil som kan utnyttes eller føre til at sensitiv informasjon kommer på avveie.
-
Tap av enhet: Å miste en enhet med jobbinnlogging/informasjon, enten vi snakker om en bærbar datamaskin, mobiltelefon, tablet eller andre ting, kan være et sikkerhetsproblem både i forhold til tilganger og informasjon på avveie. Vet du hva du skal gjøre hvis dette skjer med deg?
-
Sosial manipulasjon: Sosial manipulasjon er en type angrep som involverer forsøk på å lure brukere til å gi fra seg sensitive opplysninger eller utføre handlinger som kan skade systemene deres. Dette kan gjøres ved å utgi seg for å være en annen person eller ved å bruke overtalelsesteknikker.
-
Phishing: Phishing er en spesifikk type svindel/sosial manipulasjon som involverer forsøk på å lure brukere til å gi fra seg sensitive opplysninger som passord eller kredittkortinformasjon. Dette kan gjøres ved å sende ut falske e-poster eller ved å opprette falske nettsteder som ser ut som ekte nettsteder. Den beste bekjempelsen av disse er bevisstgjøring av brukere slik at en kritisk vurderer situasjoner der slik informasjon bes oppgitt.
-
Manglende opplæring: Manglende opplæring kan føre til at ansatte ikke har den nødvendige kunnskapen eller ferdighetene som trengs for å utføre jobben sin på en sikker måte. Dette kan føre til feil eller dårlige beslutninger. Å ikke gjenkjenne eller rapportere inn sikkerhetshendelser er et symptom på manglende overlæring. Deling av passord på usikre kanaler er et annet tegn, men det kan også være et symptom på overmot.
-
Overmot: Overmot kan føre til at man tar unødvendige risikoer eller at man tar beslutninger som ikke er basert på fakta eller kunnskap. Dette kan føre til at informasjon blir unødig eksponert, det oppstår feil, eller at man tar risikable sjanser.
-
Glipp/forglemmelse: En glipp kan skje når en handling utføres såpass ofte og rutinemessig at det krever lite oppmerksomhet fra oss. Plutselig kan vi gjøre det litt feil, og dette kan føre til uønskede konsekvenser. En forglemmelse er litt i samme kategori – man glemmer å utføre en viktig oppgave eller at man glemmer å sjekke noe som er viktig.
-
Misforståelser: Misforståelser kan oppstå når kommunikasjonen mellom to eller flere personer ikke er klar og tydelig. Dette kan føre til at viktig informasjon går tapt eller at man tar feil beslutninger.
-
Stress og/eller uoppmerksomhet: Stress påvirker vår evne til å ta rasjonelle beslutninger og kan føre til at vi gjør feil. Dette kan være spesielt farlig i situasjoner der det er behov for å handle raskt og effektivt. Det kan også lede til uoppmerksomhet der man raskt kan misse viktige detaljer eller ta feil beslutninger. Dette er spesielt farlig i situasjoner der det er behov for å være oppmerksom og konsentrert.
Der noen av disse eksemplene effektivt kan bekjempes med kunnskap (manglende opplæring, overmot, phishing, sosial manipulasjon) dreier mange av de andre seg om å klare å kjenne seg selv godt nok til å identifisere at en er i en situasjon der ting kan gå galt (stress, uoppmerksomhet, glipp, dårlig kommunikasjon) og selv ta de stegene som trengs – en pause, en dobbeltsjekk, be om hjelp, få en annens mening, etc. – for å best mulig sikre seg mot feil. Å ha en kultur der dette er naturlige steg som en blir oppmuntret til å ta hjelper langt på vei.
Listen over består av eksempler, og er ikke en uttømmende liste over hva som kan gå galt. Nye trusler og metoder oppstår hele tiden. Det er derfor viktig å ha en helhetlig tilnærming til sikkerhet som inkluderer både tekniske sikkerhetstiltak og opplæring av ansatte.
Snu svakhet til styrke
Det er menneskene i organisasjonen som avgjør om en har god IT-sikkerhet. Målet bør være å gjøre de ansatte til en menneskelig brannmur mot trusler og dårlige rutiner ved å bidra med kunnskap og skape en god sikkerhetskultur i bedriften. Det beste ved dette er at kostnaden ikke trenger å være enorm. En kan ofte gjøre en stor forskjell kun med små endringer.
En god sikkerhetskultur bidrar til at virksomhetens sikkerhetstiltak ivaretas av medarbeiderne. Dersom medarbeiderne vet hva som er forventet av dem, tar ansvar for egne handlinger og har en forståelse for hvorfor sikkerhetstiltak eksisterer, vil de også sørge for å melde fra om sikkerhetsmessige forhold som virksomheten bør vite om.
For å bygge en god sikkerhetskultur er det viktig å ha gode rutiner og tiltak på plass. Noen av tiltakene som kan hjelpe er:
-
Definer og kommuniser sikkerhetsregler og -prosedyrer klart og tydelig. Reglene og retningslinkene skal være tydelige, tilgjengelige, relevante, og oppdaterte.
-
Få ledelsen til å støtte tiltakene og være en del av løsningen. Ledelsen har en stor innflytelse på sikkerhetskulturen, og bør gå foran som et godt eksempel. Ledelsen bør også støtte og anerkjenne de ansattes innsats for å forbedre sikkerheten.
-
Gjør sikkerhet til en naturlig del av arbeidshverdagen. La sikkerhet bli en naturlig og integrert del av arbeidsprosessene, slik at det ikke oppfattes som et hinder eller en byrde. Bruk verktøy, systemer og rutiner som gjør det enkelt og praktisk for medarbeiderne å følge sikkerhetsreglene.
-
Vis de ansatte hva som forventes av dem i deres rolle. Gi medarbeiderne en forståelse for hvordan deres handlinger kan påvirke IT-sikkerheten til hele virksomheten, og hvilke konsekvenser et sikkerhetsbrudd kan ha. Gi dem også en følelse av ansvar og eierskap til sikkerheten.
-
Sørg for at det finnes en rapporteringsprosess og at de ansatte etterlever den. Oppmuntre medarbeiderne til å melde fra om eventuelle sikkerhetsproblemer, mistenkelige aktiviteter eller brudd på sikkerhetsreglene. Følg opp rapportene og gi tilbakemelding til de involverte.
-
Motiver de ansatte til å følge sikkerhetsreglene ved å fremheve og anerkjenne positiv sikkerhetsatferd. Gi ros, anerkjennelse eller andre incentiver til de medarbeiderne som viser gode sikkerhetsvaner, som rapporterer om sikkerhetsproblemer, eller som bidrar til å løse dem. Dette vil motivere dem til å fortsette med det, og inspirere andre til å gjøre det samme.
-
Mål de ansattes bevissthet og holdninger for å følge endringene i kulturen. Bruk sikkerhets-brannøvelser, spørreundersøkelser, tester, intervjuer eller andre metoder for å finne ut hvordan de ansatte oppfatter og håndterer IT-sikkerhet. Bruk resultatene til å identifisere styrker og svakheter, og tilpass tiltakene deretter.
-
Gjør en kontinuerlig innsats. Sikkerhetskultur er ikke noe som kan oppnås en gang for alle, men noe som må vedlikeholdes og forbedres over tid. Vær oppmerksom på endringer i trusselbildet, teknologien, organisasjonen eller medarbeiderne, og tilpass sikkerhetstiltakene deretter. Hold medarbeiderne oppdatert og engasjert i sikkerhet gjennom opplæring, informasjon, kampanjer og øvelser.
Å etablere en god sikkerhetskultur må alltid sees på som et langsiktig arbeid. Det er ingen månelanding - heller små, konstante drypp som sakte men sikkert etablerer det ønskede tankesettet.
Det er ikke alltid lett å anslå hvilket nivå en sikkerhetskultur faktisk ligger på. Nivået vil best vise seg ved faktiske sikkerhetshendelser og hvordan disse håndteres. På samme måte som brannøvelser gir bedre brannsikkerhet kan sikkerhetsøvelser bidra til nødvendig bevisstgjøring og tiltak rundt sikkerhetskulturen. Disse bør ha en naturlig rolle i en sikkerhetsstrategi tillegg til faglig deling og kurs.
Ta gjerne kontakt med Svein Børge om du vil vite mer om dette temaet.