Mange av nyhetssakene om datainnbrudd og datalekkasjer drar frem virksomhetens eller ansattes svake passordhåndtering eller adferd som en av sårbarhetene som ble utnyttet da virksomheten ble rammet. I mange tilfeller er det rett og slett de ansatte som angripes, og ikke systemene.
Dette handler om hvordan de ansatte håndterer, oppfatter og forstår informasjonssikkerhet. Vi kaller det sikkerhetskultur. Det er den felles oppfatningen og holdningen som ligger til grunn for adferden og den felles forståelsen av «slik gjør vi det her». Dette inkluderer de skrevne og de uskrevne reglene i virksomheten. I praksis kan det være alt fra de ansattes passordhåndtering, deling av informasjon, bruk av nettverk og å sette seg inn i, forstå og utføre virksomhetens sikkerhetsrutiner.
Hvorfor er sikkerhetskultur så viktig?
En fellesnevner for angrepene som har vært, er at sårbarhetene som utnyttes for å bryte seg inn i virksomhetens systemer er knyttet til den enkelte ansatt. Enten at en tilfeldig ansatt har et svakt passord, en PC som brukes på et hjemmekontor ikke er oppdatert, eller en ansatt ikke melder i fra om noe er unormalt. Alt dette er påvirket av vår adferd og holdninger – vår sikkerhetskultur. Når vi ser at dette blir utnyttet som en sårbarhet, er det beste forebyggende tiltaket nettopp å ha en god sikkerhetskultur.
Når har en virksomhet en god (eller en dårlig) sikkerhetskultur og hvordan kan en leder eller ledelsen arbeide med sikkerhetskultur?
Arbeidet med en god sikkerhetskultur er en kontinuerlig prosess. Det er hele tiden indre og ytre faktorer som påvirker oss. NorSIS har utviklet en metode for å måle sikkerhetskultur, og har gjennom flere år målt nettopp dette i befolkningen. Nå har vi tilpasset denne til for bruk i offentlig sektor.
Tilgjengelige verktøy for arbeidet med sikkerhetskultur
Som en del av Digitaliseringsdirektoratets samarbeidssprosjekt, laget vi i 2020 to veiledere om sikkerhetskultur. Dette arbeidet er gjort både på oppdrag av og i samarbeid med Digitaliseringsdirektoratet. Den ene veilederen handler om hva sikkerhetskultur er og hvordan ledelsen/lederen kan og bør jobbe med dette. Den andre veilederen angir metoden for å kartlegge sikkerhetskulturen i en virksomhet.
Egen metode for kartlegging av sikkerhetskultur både i befolkningen og virksomheter
NorSIS har siden 2016 gjennomført årlige kartlegginger av befolkningens sikkerhetskultur. Metoden vi har utviklet for å gjøre denne kartleggingen er også tilpasset slik at den kan brukes for å kartlegge sikkerhetskulturen i virksomheter. Dette er en tjeneste vi tilbyr i vår nettbutikk.