En viktig del av arbeidet med å forbedre cybersikkerheten i en organisasjon er å få folk med på tiltakene. Hvordan skal man endre måten folk handler på, når det gjelder sikkerhet? Min eksamensoppgave har undersøkt dette og ut ifra den prøvd å svare på hvordan man kan forbedre sikkerheten ved hjelp av endringsledelse.
Mange sikkerhetsprosjekter mislykkes. En grunn til dette er at det legges stor vekt på de tekniske løsningene for sikkerhet samtidig som man ikke fokuserer nok på den menneskelige faktoren. Det er viktig å endre måten folk handler på, når det gjelder sikkerhet - det spiller ingen rolle hvor sikre de tekniske løsningene er hvis menneskene i organisasjonen ikke handler sikkert. Min eksamensoppgave har derfor fokusert på å undersøke hvordan selskapene kan forbedre sikkerheten ved hjelp av endringsledelse.
For å svare på dette har jeg gjennomført intervjuer med CISO-er (Chief Information Security Officers) hos ulike selskaper, bl.a. i energi-, transport- og telekombransjen. Jeg har også intervjuet andre medarbeidere i disse selskapene for også å få deres syn på saken. Deretter intervjuet jeg konsulenter for cybersikkerhet og endringsledelse i Knowit. På grunnlag av disse intervjuene har jeg identifisert flere nøkkelfaktorer for å lykkes med endringsledelse i sikkerhetsarbeidet.
De viktigste aktivitetene som ble identifisert under intervjuene mine for å skape en vellykket sikkerhetskultur i organisasjonen, kan deles inn i åtte trinn:
1. Først og fremst er det viktig å få ledelsens støtte for sikkerhet. Det gjelder å få ledelsens engasjement for sikkerhet og få lederne til å forstå hvorfor endringen er av stor betydning.
2. Deretter må man finne nøkkelpersoner som kan bidra til å lede dette arbeidet. Her er det viktig å finne dem som har interesse av å lære mer om sikkerhet og involvere dem tidlig, slik at de kan bli interne endringsledere. Det er en fordel hvis noen fra ledergruppen er involvert slik at ledelsen har forståelse for sikkerhetsarbeidet.
3. Da er det også viktig å skape en sikkerhetsvisjon, som bør være tydelig og kraftig for sikkerhetsarbeidet slik at alle i organisasjonen kan motiveres til å følge den. Når man skaper denne visjonen, må man også synkronisere forventningene. Dette er et arbeid som tar tid, og det er viktig at alle er enige, klar over omfanget og hvordan dette arbeidet skal utføres.
4. Under selve endringen er det viktig å kommunisere sikkerhet til medarbeiderne. Her er det grunnleggende å kommunisere både alvoret og konsekvensene av sikkerhet, men også peke på positive aspekter og suksesshistorier. For selv om det er effektivt å snakke om trusler og alvoret med sikkerhet fordi det kan ha alvorlige konsekvenser hvis man ikke tenker på sikkerheten, må man kommunisere fordelene og de positive delene av sikkerhet slik at medarbeiderne ikke får et negativt bilde av dette. Det er også viktig å være åpen og også kommunisere hvis det skjer noe internt i organisasjonen. Respondentene har også sagt at man må bruke mange forskjellige kanaler for å kommunisere budskapet i organisasjonen.
5. Deretter er det av stor betydning å gi medarbeiderne opplæring i sikkerhet for at de skal forstå, og her er det ifølge respondentene effektivt å ha mikroopplæring, altså korte opplærings seanser som utføres regelmessig.. Dessuten må man prøve å gjøre opplæringsøktene morsomme og interaktive slik at medarbeiderne selv får "lære ved å gjøre".
6. En annen viktig faktor er å gjøre det mulig for medarbeiderne å komme med tilbakemeldinger og forbedringsforslag. Som en medarbeider nevnte, var det ofte medarbeiderne som meldte fra hvis det oppstod en mangel ved sikkerheten, eller hvis noe måtte gjøres i forbindelse med sikkerhet.
7. For å beholde endringen og skape denne sikkerhetskulturen er det viktig å evaluere og måle virkningen av endringen. Og her skal man ikke bare måle hvor mange mennesker som for eksempel har fullført opplæringen, men også måle endringen i sikkerhetsatferd før og etter endringen.
8. Deretter er det av stor betydning å fortsette å endre. Dette er et langsiktig arbeid som tar tid og krever kontinuerlige forbedringer for å få inn sikkerhet som en del av bedriftskulturen.
I tillegg til disse faktorene er lederskap en viktig del når det gjelder endringsledelse. På grunnlag av intervjuene har jeg identifisert en rekke lederegenskaper som er relevante for et vellykket sikkerhetsarbeid. Blant annet er det viktig at de som leder sikkerhetsarbeidet, kan gå foran som gode eksempler, det vil si at de kan prioritere og gjøre ting på den måten de ønsker at medarbeiderne skal gjøre det på. For hvis ikke ledelsen velger å tenke på og prioritere sikkerheten, vil heller ikke medarbeiderne gjøre det. En annen egenskap er at man må være åpen for spørsmål og lytte til medarbeiderne. Det er viktig at de tør å spørre om hva de vil når det gjelder sikkerhet, og ikke føle at et spørsmål er for dumt å stille.
Jeg har også sett på medarbeidernes perspektiv i en organisasjon og hvordan de opplever sikkerhetsarbeidet. Fra disse intervjuene har jeg identifisert en rekke behov som medarbeiderne har for å få mening med endringen. Blant annet må medarbeiderne føle seg involvert i sikkerhetsarbeidet og forstå hva, hvordan og hvorfor dette skal gjøres. De har også behov for støtte. Det må altså være mulig for medarbeiderne å stille spørsmål og ha noen å snakke med om sikkerhet. Medarbeiderne har også behov for refleksjon. De må ha tid og mulighet til å reflektere over det de har lært om sikkerhet.
Jeg har samlet det jeg har funnet, i et rammeverk (se nedenfor) som prøver å illustrere de viktigste faktorene som det må tas hensyn til for å skape en vellykket sikkerhetskultur der alle medarbeiderne tenker på sikkerheten.
Hele Emmas eksamensoppgave kan leses her.