Den Ultimate Guiden Til En Sterk Sikkerhetskultur
Ettersom 95% av alle IT-sikkerhetsbrudd skyldes menneskelige feil, utgjør en sterk sikkerhetskultur grunnlaget for en sikker organisasjon. Men hva er en sikkerhetskultur? Det skal vi forklare deg snart, men vi kan allerede nå avsløre at en sterk sikkerhetskultur motiverer de ansatte til å praktisere gode IT-sikkerhetsvaner og gjør det mindre sannsynlig at en sikkerhetshendelse inntreffer. Problemet er at det er vanskelig å få folk til å bry seg om IT-sikkerhet, hvilket betyr at mange organisasjoner har rom for å forbedre sine sikkerhetskulturer.
Vi har foretatt en mengde undersøkelser om bedriftskultur og sikkerhetsvaner, og nå vil vi dele all informasjonen med deg – i denne ultimate guiden om sikkerhetskulturer. Les videre for å lære hva det vil si å ha en sterk sikkerhetskultur, hvorfor det er viktig, hva som kan påvirke en sikkerhetskultur og hvordan du kan forbedre sikkerhetskulturen i din organisasjon.
Innholdsfortegnelse
- Hvorfor det er viktig å ha en sterk sikkerhetskultur
- Vitenskapelige studier viser at disse faktorene påvirker sikkerhetskulturen
- Vil du styrke din sikkerhetskultur? Her er 8 praktiske tips som kan hjelpe
- Kommuniser forventninger og krav til IT-sikkerhet på en tydelig måte
- Ha en rapporteringsprosess på plass og sjekk om de ansatte følger den
- Få ledelsen med på laget
- Mål de ansattes bevissthet og holdninger for å følge endringene i kulturen
- Hvis hvilken rolle hver ansatt spiller
- Fremhev de som er gode på sikkerhet
- Integrer sikkerhet i arbeidshverdagen
- Gjør en kontinuerlig innsats
- Hvordan en av våre kunder forbedret sin sikkerhetskultur
- Hva er ditt neste steg?
- Vi er her for å hjelpe deg!
- Videre lesning
Det menneskelige aspektet av IT-sikkerhet undervurderes
Før vi fortsetter, vil vi gjerne understreke hvorfor sikkerhetskultur er et viktig tema. Derfor starter vi med to statistikker:
- 95% av sikkerhetsbrudd skyldes menneskelige feil
- Kun 3% av IT-sikkerhetsbudsjetter går til bevissthetstrening for ansatte
Denne informasjonen kan være forvirrende. Det gir ikke mening at bedrifter vier så lite penger til menneskelig atferd, når menneskelige feil er den klart største årsaken til sikkerhetsbrudd.
Menneskene i organisasjonen din kan være deres største svakhet eller beste forsvar når det gjelder IT-sikkerhet. Vi tror at du kan gjøre dine kollegaer til en menneskelig brannmur ved å skape en god sikkerhetskultur i bedriften. Og det beste er at det å bygge en sterk IT-sikkerhetskultur ikke trenger å koste skjorta. Faktisk kan små endringer utgjøre en stor forskjell. Så heng med og ta det neste steget mot en bedre IT-sikkerhetskultur.
Hva er en sikkerhetskultur?
La oss starte med det grunnleggende: kultur generelt
Når du hører ordet “kultur” har du formodentlig en god forståelse for hva det innebærer. Kultur defineres gjerne som de syn, verdier og atferder som en gruppe mennesker deler. Du kan se gruppas kultur komme til uttrykk i menneskenes holdninger og prioriteringer.
Det er ønskelig med en sterk bedriftskultur, da det får menneskene i bedriften til å føle seg nærere hverandre og øker jobbtilfredsheten deres. Det samme gjelder IT-sikkerhetskulturer. Men hva er egentlig en sikkerhetskultur? Det skal vi se på nå.
En sikkerhetskultur er en gruppes holdninger og atferd når det gjelder IT-sikkerhet
Slik som enhver gruppe mennesker, har enhver organisasjon sin egen kultur. Noen arbeidsplasser har for eksempel en kultur som oppmuntrer til samarbeid og fleksibilitet. Sikkerhetskulturen er bare én del av en organisasjons kultur, men den er viktig! Den beskriver hvordan de ansatte og organisasjonen ser på, prioriterer og håndterer IT-sikkerhet. Sikkerhetskulturen er alltid under utvikling, og det krever en innsats å vedlikeholde og forbedre den. Kulturen formes av det konstante samspillet mellom de ansattes syn på og håndtering av IT-sikkerhet, og organisasjonens sikkerhetsmål, retningslinjer og prioriteringer.
En sterk sikkerhetskultur betyr at både organisasjonen og de ansatte anser sikkerhet som viktig og oppfører seg på måter som fremmer god IT-sikkerhet. Det innebærer at sikkerhet er en naturlig del av det daglige arbeidet og et normalt samtaleemne på jobben.
Hvis du leser dette og tenker “Jeg kan ikke huske sist gang jeg hørte noen på kontoret prate uformelt om IT-sikkerhet", er det nok på tide å investere i sikkerhetskulturen deres. Senere i denne artikkelen gir vi deg noen enkle og praktiske tips til hvordan du kan gjøre dette.
Organisasjonens sikkerhetskultur påvirker individuell oppførsel
Bedriftskulturen strømmer i to retninger. Den strømmer fra gruppen til individet, ettersom selskapets normer påvirker de ansattes individuelle holdninger. Den strømmer også fra individet til gruppen, da ansattes egne følelser og oppførsler kan bli sett og kopiert av andre i selskapet. Siden vi mennesker gjerne handler slik vi forventes å handle, har en sterk sikkerhetskultur ofte stor innvirkning på de ansattes oppførsel. Ta bare en titt på disse eksemplene på hvordan en ansatt kan oppføre seg i et selskap med en god sikkerhetskultur versus en dårlig sikkerhetskultur.
En ansatt i et selskap med god sikkerhetskultur er mer tilbøyelig til å:
- Praktisere gode digitale vaner
- Vite at de har ansvar for organisasjonens sikkerhet
- Diskutere sikkerhetsspørsmål med kollegaene sine og rapportere hendelser på rett måte
- Advare kollegaene sine om mistenkelige e-poster eller andre trusler
- Forstå sikkerhetstrusler og proaktivt redusere risikoen for disse
- Følge selskapets IT-sikkerhetspolitikk
En ansatt i et selskap med en svak sikkerhetskultur er mer tilbøyelig til å:
- Dele eller gjenbruke passord
- Laste ned farlig programvare, som skadevare
- Trykke på lenker eller vedlegg eller oppgi sensitiv informasjon under phishing-forsøk
- Koble jobbens IT-utstyr til offentlige, ubeskyttete Wifi-nettverk på travle steder som flyplasser
- Ikke gjenkjenne og/eller ikke rapportere sikkerhetshendelser til IT-avdelingen
Som du ser, kan en sterk sikkerhetskultur utgjøre en stor forskjell for hvor sikkert et selskap er. Vi har snakket om hva en sikkerhetskultur er og hvordan den kan se ut i en organisasjon. Men hvorfor er det viktig å ha en sterk sikkerhetskultur? Det er det vi skal se på nå. La oss sette i gang!
Hvorfor det er viktig å ha en sterk sikkerhetskultur
En sterk sikkerhetskultur er viktig fordi menneskelige feil forårsaker 95% av alle sikkerhetsbrudd i organisasjoner. Med en slik statistikk er det logisk å fokusere på menneskelig atferd.
En sterk sikkerhetskultur kan motivere de ansatte til å ta sikkerhet på alvor, forstå truslene og praktisere gode IT-sikkerhetsvaner. Det gjør også at de ansatte vet at de alltid burde ha sikkerhet i bakhodet, og det gir dem støtten de trenger for å prioritere sikkerhet i arbeidet sitt. En god sikkerhetskultur bidrar også til at de ansatte føler seg komfortable med å snakke om sikkerhetsproblematikk med andre på kontoret.
Sikkerhet er alles ansvar
Bedrifter med sterke sikkerhetskulturer består av ansatte som forstår sikkerhetstruslene og gjennomfører tiltak for å unngå dem. Du tenker kanskje:
“Hvis alle kjenner til alle sikkerhetstruslene, er det da bruk for en IT-avdeling?”
Vel, vi mener ikke at alle de ansatte må være IT-eksperter – IT-ekspertisen burde definitivt overlates til IT-avdelingen! Men det er viktig at alle ansatte har en generell bevissthet omkring trusler slik at de kan oppdage farlige situasjoner og hente eksperthjelp fra IT-avdelingen når det trengs. Poenget med å ha en god sikkerhetskultur er ikke å gjøre alle til eksperter innen IT-sikkerhet. Poenget er snarere å gjøre alle ansatte i stand til å se når ekspertene bør tilkalles for å hjelpe med et problem.
En måte å unngå sikkerhetsbrudd på
Når alle de ansatte er bevisste om sikkerhetstrusler, kan de reagere før et potensielt problem blir til et sikkerhetsbrudd. Det er altså mindre sannsynlig at slike bedrifter opplever et alvorlig sikkerhetsbrudd. Det er også mer sannsynlig at de ansatte i disse bedriftene kontakter IT-avdelingen for å få hjelp i de tidligere stadiene av en sikkerhetshendelse, hvilket betyr at dersom bedriften opplever et brudd, vil den kunne komme seg mye raskere. Det skyldes åpen kommunikasjon om IT-trusler i bedriften og en kultur for å rapportere hendelser kjapt uten skam eller anklage.
En god grunn til å ha en sterk sikkerhetskultur er altså at det reduserer risikoen for sikkerhetsbrudd. Databrudd er ekstremt kostbare for bedrifter over hele verden, og antall sikkerhetshendelser stiger for tiden. Å fostre en sterk sikkerhetskultur med bevisste ansatte er den beste måten å forsvare selskapet ditt på.
Det er som ditt eget alarmsystem for helseproblemer
Du kan sammenligne de ansattes bevissthet om IT med din egen kunnskap om helseproblemer. Mest sannsynlig har du ikke bred medisinsk kunnskap om ulike typer sykdommer, deres symptomer og hvordan de behandles. Men du vet når noe er feil med kroppen din. Og du har sikkert familie og venner som kan fortelle deg “Du ser ikke helt god ut i dag – du er veldig blek. Kanskje du burde gå til legen.” Så selv om du ikke vet nøyaktig hva det er som forårsaker din hodepine og såre hals, så vet du når du burde oppsøke legen din. Du vet også at du burde spise en balansert diett for å ta vare på kroppen din og unngå å bli syk.
Det samme gjelder IT-sikkerhet! Det er ikke nødvendig at alle de ansatte kjenner til alle detaljene om tekniske sikkerhetssystemer – de behøver bare vite hvilke tegn de skal se etter, slik som kjennetegnene på en phishing-e-post, og hvilke rutiner de bør følge for å ivareta god sikkerhet, slik som å bruke sterke passord. Og hvis et problem skulle oppstå, kan de alltids kontakte IT-avdelingen for hjelp. I en bedrift med god sikkerhetskultur vil de ansatte være bevisste om IT-sikkerhet og ha et støtteapparat rundt seg, slik at eventuelle problemer oppdages før de blir alvorlige – og hvem ønsker ikke det?
Vitenskapelige studier viser at disse faktorene påvirker sikkerhetskulturen
Vi vet at mange bedrifter synes kultur kan være et vanskelig tema. Det er også et vagt nok begrep til at det kan få mange til å klø seg i hodet og undre hvor man overhodet skal begynne. Så for å hjelpe deg med å komme i gang vil vi nevne noen punkter som du bør tenke over når du vurderer sikkerhetskulturen i din bedrift. Vi ser både på faktorer som kan stå i veien for en sterk sikkerhetskultur, og faktorer som kan styrke sikkerhetskulturen.
Alle våre råd og anbefalinger kommer fra en kombinasjon av vår årelange erfaring innen IT-sikkerhet og forskningen vi har gjort på dette feltet. Vi har lest mange vitenskapelige studier om bedriftskultur og IT-sikkerhet, og funnene har bidratt til å informere oss i vårt arbeid. Hvis du er interessert i å lese forskningsartiklene selv, kan du finne lenker til dem underveis og listet opp til sist i denne artikkelen.
Grunner til at din sikkerhetskultur kanskje er mangelfull
En sikkerhetskultur kan lide av flere grunner. Som oftest er det mer enn én grunn til at en sikkerhetskultur er mangelfull. Her er noen vanlige faktorer som kan stå i veien for at din sikkerhetskultur oppnår sitt fulle potensiale.
- Manglende prioritering fra ledelsen: Hvis lederne i organisasjonen ikke synes det er verdt å bruke tid eller penger på sikkerhet, vil holdningene deres smitte over på de ansatte. Hvis den gjengse oppfatning i organisasjonen er at sikkerheten ikke er viktig, tyder det på at sikkerhetskulturen kunne trengt litt pleie.
- Høy personalomsetning: Når nye ansatte stadig kommer og går, vil kulturen være lite stabil, og det kan bli vanskelig å etablere og opprettholde en sterk sikkerhetskultur.
- For kompliserte sikkerhetskrav: Det er vanskelig nok fra før å få folk til å bry seg om sikkerhet. Gjør man reglene og retningslinjene mer komplekse enn nødvendig, garanterer man at de ikke vil bli fulgt, ettersom de ansatte må overvinne hindringer for å kunne forstå og følge dem.
- Ubalanse mellom effektivitet og sikkerhet: En jobbkultur med intense frister eller som oppmuntrer de ansatte til å få jobben unnagjort så fort som mulig, kan få de ansatte til å ta snarveier og ignorere sikkerhetstrusler. Selv om effektivitet er viktig, må det ikke gå på bekostning av sikkerheten. Det bør være en god balanse mellom prioriteringene, slik at alt går som smurt.
- Å tenke at “det skjer ikke meg”: Selv ansatte som kjenner til sikkerhetstrusler assosierer ikke nødvendigvis seg selv eller bedriften sin med disse. Derfor tar de ikke tilstrekkelige forholdsregler og kan begå feil.
- Lav jobbtilfredshet: Ansatte som mistrives med arbeidet sitt er mer tilbøyelige til å ignorere sikkerhetspolitikker.
Faktorer som fremmer en sterk sikkerhetskultur
Det finnes også faktorer som støtter veksten av en sterk sikkerhetskultur. Her er noen slike ting å være på utkikk etter:
- En ledelse som verdsetter og prioriterer sikkerhet: Ledelsens verdier når ansatte på alle nivåer. Et lederskap som prioriterer sikkerheten er en sterk indikator på at personalet også vil verdsette sikkerhet.
- Høy bevissthet om sikkerhetstrusler: Når personalet forstår sikkerhetstrusler, er de mer tilbøyelige til å delta i aktiviteter som støtter opp om en sterk sikkerhetskultur, slik som å diskutere trusler med kollegaene sine og rapportere trusler til IT-avdelingen.
- Folk er motivert til å følge reglene: Enten motivasjonen til å følge reglene for IT-sikkerhet kommer innenfra eller utenfra, er motivasjonen til å praktisere gode IT-vaner et viktig element i en sterk sikkerhetskultur. Her er en vitenskapelig artikkel om hvordan motivasjon påvirker IT-sikkerhetsatferd.
- Åpen kommunikasjon om sikkerhet: En bedrift med en sterk sikkerhetskultur gir de ansatte rom til å diskutere risikoer og rapportere trusler eller hendelser til IT-avdelingen. Anklager og kjeft forhindrer ikke databrudd, men kan forhindre at ansatte står fram med trusler.
- Sosiale normer som oppmuntrer sikre vaner: Vi blir alle påvirket av miljøet vårt og menneskene i det. Et kontor med sosiale normer som å låse PC-skjermen når man reiser seg fra pulten, har sannsynligvis en god sikkerhetskultur. Tilsvarende kan det å rose ansatte som praktiserer gode sikkerhetsvaner være et tegn på en god sikkerhetskultur.
- Nasjonal kultur: En arbeidsplass er ikke isolert fra resten av verden (selv om det kan føles slik til tider). Vektleggingen av sikkerhet i det landet du bor i har betydning. For eksempel har personvernforordningen (GDPR) gjort databeskyttelse til et vanlig samtaleemne i mange europeiske bedrifter. De ansatte forstår at det er viktig å holde personopplysninger sikre for å kunne verne om folks privatliv og beskytte dem fra eventuelle sikkerhetsbrudd. GDPR kan altså ha gjort det lettere for europeiske bedrifter å skape en sterk sikkerhetskultur.
Når du vurderer sikkerhetskulturen i din egen organisasjon, kan du tenke over om noen av punktene ovenfor gjelder dere. Og nå som vi først snakker om sikkerhetskulturen i din organisasjon, kan vi bevege oss videre til noen praktiske tips som du kan bruke til å styrke din sikkerhetskultur. I neste avsnitt gir vi deg 8 ulike måter å forbedre sikkerhetskulturen i din organisasjon på.
Vil du styrke din sikkerhetskultur? Her er 8 praktiske tips som kan hjelpe
Det er alltid rom for forbedring når det gjelder sikkerhetskulturer. Du ønsker kanskje å ta små eller større steg mot en sterkere sikkerhetskultur, avhengig av hvordan din nåværende sikkerhetskultur ser ut. I disse anbefalingene trekker vi på våre egne års erfaring i å hjelpe organisasjoner med å styrke sine sikkerhetskulturer. Men du trenger ikke å kun ta vårt ord for det! Flere studier angående forbedret overholdelse av retningslinjer for IT-sikkerhet har mange av de samme funnene.
Her er 8 ting du kan gjøre for å styrke din sikkerhetskultur:
- Kommuniser forventninger og krav til IT-sikkerhet på en tydelig måte
- Ha en rapporteringsprosess på plass og sjekk om de ansatte følger den
- Få sjefene og avdelingslederne med på laget
- Mål holdninger og bevissthet for å følge utviklingen over tid
- Hvis hvilken rolle hver ansatt har i å beskytte bedriften
- Belønn de som er gode på sikkerhet
- Integrer sikkerhet i arbeidshverdagen
- Gjør en kontinuerlig innsats
Kommuniser forventninger og krav til IT-sikkerhet på en tydelig måte
Man må kjenne til selskapets sikkerhetsregler for å kunne følge dem. Det vil kanskje overraske deg at en undersøkelse viser at 88% av ansatte ikke kjenner til organisasjonen deres sin IT-sikkerhetspolitikk. En vanlig grunn til dette er at retningslinjene ofte er alt for kompliserte og gis til de ansatte som et stort dokument som de forventes å lære seg utenat. I slike tilfeller er det mer sannsynlig at de ansatte åpner dokumentet, lukker det når de ser at det er ekstremt langt og kjedelig, for så aldri åpne det igjen.
For å gjøre det så enkelt som mulig for de ansatte å kjenne til IT-sikkerhetsreglene deres, bør du kommunisere dem på en tydelig og lettfattelig måte. Dette kan gjøres ved å holde deres IT-sikkerhetspolicy og retningslinjer for IT-bruk korte og skrive dem på et lett forståelig språk. Det bør være mulig for alle de ansatte å forstå hva som forventes av dem. Policyen bør gis til de ansatte når de begynner i jobben, og den bør inneholde krav om obligatorisk deltakelse i bevissthetstrening og/eller andre aktiviteter som opplærer de ansatte i sikkerhetstrusler.
En måte kunden vår, Novicell, gjorde dette på var å skrive en enkel og lettlest håndbok i personvern. Du kan lese mer om hvordan Novicell lagde enkle retningslinjer her.
Ha en rapporteringsprosess på plass og sjekk om de ansatte følger den
Tydelig kommunikasjon er veien å gå! Du har kanskje merket at det snakkes mye om kommunikasjon i dagens bedriftskultur, og det er nettopp fordi at det er veien å gå. Du burde ha en klar prosess på plass som de ansatte kan følge når de trenger å komme i kontakt med IT-avdelingen. Se til at alle vet hvem de skal gå til hvis de har spørsmål om IT-sikkerhet og hvordan de rapporterer en mulig sikkerhetsrisiko. Det er greit å teste de ansatte for å sjekke hvor godt de kjenner denne prosedyren. Du kan for eksempel sende en simulert phishing-e-post for å få oversikt over hvor mange som rapporterer den på rett måte og hvorvidt medarbeiderne advarer hverandre om den. Å vite hvordan man rapporterer et problem er én ting, men for å oppnå en sterk sikkerhetskultur er det også helt nødvendig å faktisk rapportere og diskutere de truslene som oppstår.
Få ledelsen med på laget
Det er ledelsen som setter tonen for resten av bedriften. Hvis de ser verdien av å prioritere sikkerhet, er det mer sannsynlig at de ansatte også gjør det. Når lederne prioriterer sikkerhet, kan de sette av tid til sikkerhetsrelaterte treningsopplegg, og de kan sørge for at de ansatte har nok tid i løpet av arbeidsdagen til å følge ulike forholdsregler. I likhet med resten av selskapet burde også alle sjefene og avdelingslederne delta i bevissthetstrening. På den måten blir de gode rollemodeller og talsmenn for sikkerhetstreningen, særlig når de forteller om viktigheten av sikkerhet til resten av personalet. Når sjefene tar sikkerhet på alvor og prioriterer det på lik linje med andre arbeidsoppgaver, smitter holdningene deres over på de ansattes oppførsel.Mål de ansattes bevissthet og holdninger for å følge endringene i kulturen
For å se hvordan kulturen deres endrer seg over tid, må du ha et system på plass for å måle de ansattes holdninger og bevissthet om IT-sikkerhet. Dette kan gjøres ved å se på hvor stor andel av de ansatte som har fullført alle kursene i bevissthetstreningen og hvor raskt de gjennomfører kursene etter å ha mottatt en kursinvitasjon. Hvis de ansatte trenger mange påminnelser om å ta et kurs, er det et tegn på at de ikke bryr seg så veldig mye. Om kursene derimot fullføres raskt tyder det på at de ansatte verdsetter IT-sikkerhet og ønsker å gjøre sin del av arbeidet. Du kan også tilpasse aktivitetene i bevissthetstreningen de ansattes behov, ved å for eksempel tilby kurs som er relevante for deres arbeidsoppgaver og arbeidsforhold, slik som kurs i å jobbe trygt hjemmefra.
Hvis hvilken rolle hver ansatt spiller
Noen ganger er dårlig sikkerhetsoppførsel et resultat av at man tenker “dette kommer ikke til å skje meg, så jeg trenger ikke bry meg om det”. Derfor er det viktig å sette fokus på de ansatte, slik at de forstår sin rolle i å holde organisasjonen trygg. Faktum er at sikkerhet er alles ansvar, ikke bare IT-avdelingens. Dette kan du kommunisere via ulike aktiviteter som illustrerer det menneskelige aspektet av IT-sikkerhet, slik som phishing-trening. Når de ansatte mottar simulerte phishing-e-poster, vil de kunne relatere mer til sikkerhetstruslene og få en bedre forståelse av eget ansvar, enn hvis de kun skulle lest om det i en manual. Slike tester viser at phishing-angrep faktisk kan ramme dem, og at det ikke er så lett å kjenne igjen phishing-forsøk som man kanskje skulle tro. Alt dette viser de ansatte hvorfor det er viktig å kjenne til tegnene på en phishing-e-post og å ta sikkerhet på alvor.
Fremhev de som er gode på sikkerhet
En viktig del av arbeidet med å forbedre sikkerhetskulturen og å øke bevisstheten om IT-sikkerhet på arbeidsplassen er å belønne god oppførsel. Ved å anerkjenne personer eller avdelinger med gode sikkerhetsvaner kan du styrke sikkerhetskulturen. Du kan for eksempel fremheve en avdeling eller en ansatt som alltid gjennomfører treningskursene sine i tide. Da kan de bli et eksempel til etterfølgelse for resten av selskapet, og det er også hyggelig for dem å bli anerkjent for sin innsats.
Litt mer om motivasjon:
Det fungerer som regel bra å fremheve de som er gode på sikkerhet, da de fleste av oss ønsker å bli anerkjent av våre kollegaer. Det er likevel viktig å forstå hvordan motivasjon varierer fra person til person. Noen har kanskje en indre motivasjon til å følge regler, mens andre trenger ekstern motivasjon, slik som sosial anerkjennelse. Det er også greit å ta i bruk andre tiltak, dersom noen behøver en ekstra dytt. Hva slags tiltak du innfører vil naturligvis avhenge av selskapet ditt, men det kan eksempelvis være at en i en lederstilling sender en e-post til eller har en samtale med personen. Dette er ingen negativ straff, men det viser at ledelsen følger med, og det kan hjelpe med å dytte den ansatte i riktig retning.
Integrer sikkerhet i arbeidshverdagen
For å holde sikkerhet i tankene til de ansatte, bør du gjøre sikkerhet til en enkel og normal del av arbeidsdagen. Ved å ha dekorasjoner som promoterer IT-sikkerhet på kontoret, slik som våre gratis plakater om IT-sikkerhet og personvern, holder du de ansatte bevisste om sikkerhet under hele arbeidsdagen. Det er viktig at de tiltakene du innfører for å integrere sikkerhet i arbeidsdagen ikke blir en byrde for de ansatte ved å være for tidkrevende eller vanskelige. Det er derfor en god ide med korte bevissthetstreningskurs, da det gjør sikkerhet til en normal del av arbeidet og holder de ansatte bevisste lenger. Husk også at det å bruke flere forskjellige medier fører til mer bevissthet og økt læringsutbytte.
Gjør en kontinuerlig innsats
Uansett hva du velger å gjøre for å øke bevisstheten om IT-sikkerhet på kontoret, bør det gjøres kontinuerlig. Kontinuitet hjelper med å holde sikkerhet til stede i tankene, hvilket forsterker sikkerhetskulturen. Du kan for eksempel publisere nye bevissthetstreningskurs for de ansatte annenhver måned og fylle perioden mellom kursene med andre påminnelser om gode vaner. I og med at kulturen forandres over tid, er det viktig at du holder sikkerhetsarbeidet gående for å skape eller beholde forbedringer.
Nå som du har sett våre 8 tips til hvordan man skaper en sterkere sikkerhetskultur, lurer du kanskje på hvordan dette rent faktisk ville sett ut i din bedrift. For å hjelpe deg med å se hvilke små steg som kan forbedre din sikkerhetskultur, gir vi deg et eksempel fra en av kundene våre. Les videre for å se hvilke enkle grep de tok for å forbedre deres sikkerhetskultur.
Hvordan en av våre kunder forbedret sin sikkerhetskultur
Vi hjelper mange av kundene våre med å oppnå en sterk sikkerhetskultur. Hvis du lurer på hvordan våre anbefalinger ser ut i virkeligheten, har du kommet til rett sted! Dette er hva en av kundene våre gjorde for å forbedre sin sikkerhetskultur:
- De har laget en IT-sikkerhetspolicy, og de tester hvor godt de ansatte forstår den ved hjelp av en kort quiz
- IT-sikkerhet har blitt et fast tema på deres ukentlige personalmøter. Dette åpner for samtaler om IT-sikkerhet og gir ekspertene mulighet til å svare på eventuelle spørsmål, hvilket oppmuntrer de ansatte til å jevnlig diskutere IT-sikkerhet
Som du ser, innførte selskapet relativt små tiltak for å forbedre sin sikkerhetskultur. Men små endringer kan gjøre en stor forskjell, spesielt når de inngår i den vanlige arbeidsrutinen, slik som å diskutere IT-sikkerhet på ukentlige møter. Det er altså god grunn til å investere i å forbedre din sikkerhetskultur allerede i dag.
Hva er ditt neste steg?
Er du klar for å ta det neste steget mot å forbedre sikkerhetskulturen i din organisasjon? Vi har dekket mange emner hittil, og vet det kan virke overveldende i begynnelsen. Så for å gjøre det litt enklere for deg, får du to tiltak som du kan bruke for å komme i gang:
- Vurder hvor organisasjonen din befinner seg nå. Hvilke deler av kulturen deres kunne trengt en forbedring?
- Innfør nye strategier for å gjøre forbedringer på disse områdene. Vi anbefaler Plan-Do-Check-Act-syklusen (PUKK-hjulet på norsk) som en modell for å gjøre endringer og måle hvor effektive disse endringene er.
Vær oppmerksom på at det ikke alltid er lett å gjennomføre kulturendringer, og at det iblant kan ta tid før man ser resultater. I begynnelsen kan det finnes en viss motstand fra de som ikke synes at IT-sikkerhet burde være en stor prioritering. Men det er viktig å fortsette arbeidet. Med tid og sikkerhetsaktiviteter som er lette å forstå og kjappe å fullføre, kan du få med alle på å prioritere sikkerhet.
Vi er her for å hjelpe deg!
Hos CyberPilot er vår bevissthetstrening og phishing-trening, samt andre gratis ressurser, utformet med mål om å bygge sterke sikkerhetskulturer. Vi hjelper organisasjoner med å opplære og motivere sine ansatte til å praktisere gode vaner. Hvis du er interessert i å prøve vår bevissthetstrening, kan du registrere deg for en 14-dagers gratis prøveperiode. Og som alltid er du mer enn velkommen til å kontakte vårt team dersom du har spørsmål om hvordan du styrker din sikkerhetskultur.
Videre lesning
Hvis du er interessert i å lese mer om de studiene vi brukte til å skrive dette innlegget, kan du finne dem i listen under. Og hvis du har lest noe annet om sikkerhetskulturer som fanget oppmerksomheten din, vil vi gjerne høre fra deg! Kontakt oss på info@cyberpilot.io
- Analyzing the role of cognitive and cultural biases in the internalization of information security policies: Recommendations for information security awareness programs
- Information Security Behavior and Information Security Policy Compliance: A Systematic Literature Review for Identifying the Transformation Process from Noncompliance to Compliance
- Self-efficacy in information security: Its influence on end users' information security practice behavior
- The impact of information richness on information security awareness training effectiveness
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.