Människan är nyfiken, innovativ och vetgirig av naturen. Vi tar genvägar när vi kan för att vi är smarta och lata. Det påverkar naturligtvis vår säkerhetsmedvetenhet.
Vi som jobbar med it- och informationssäkerhet har länge kämpat för att få in säkerhet på agendan. Det har tagit tid att övertyga ledningsgrupper om värdet av ett systematiskt arbete med säkerhet och vikten av en konstruktiv säkerhetskultur. Vi har fokuserat på tekniska lösningar men glömt bort människan. Nu står vi bland annat inför utmaningen att få upp den mänskliga faktorn som den största sårbarheten i våra digitala ekosystem. Beteende har nämligen ett mycket högt riskvärde i digitala ekosystem.
Läs mer: 10 saker alla anställda måste lära sig om cyberhot
Vilken säkerhetskultur vill ni ha?
Min personliga övertygelse är att vi som arbetar i säkerhetsbranschen inte har nått fram med budskapet och inte förstått hur vi skall leverera det till på ett sätt som gör att ledningsgrupper begriper utmaningarna kring detta. Vi har inte heller direkt haft någon lösning på hur det här rent praktiskt sett ska gå till. Har vi rentav trott att det inte är möjligt eller är problemet att vi inte har vetat hur vi ska göra?
Så hur ska man göra då? I grunden måste det ligga ett syfte och mål med säkerheten. Du som ansvarig måste definiera och bestämma er för vilken säkerhetskultur ni önskar på företaget. Du måste staka ut visionen för hur kärnverksamheten och säkerheten kan fungera i harmoni. En säkerhetskultur där dina anställda naturligt tänker på, och utövar, säkerhet har större möjlighet att lyckas och följa målet med den – att skydda er verksamhet. Utbildning av er personal hur de gör detta är en central framgångsfaktor i det arbetet.
Få med er medarbetarna
Inledningsvis behöver ansvariga förklara för medarbetarna, och skapa en gemensam förståelse kring, varför det är viktigt att delta i säkerhetsutbildningar. Vi kan kalla det för motivationshöjande insatser.
Därefter behöver ni fundera över kravbilder gällande utbildningsstrategier kopplade till ert säkerhetsarbete, som till exempel:
- Är utbildningsinsatsen mätbar?
- Förändrar den beteenden?
Slutligen måste man utvärdera effekten av sin insats och därefter planera nästa steg. Blev resultatet det önskade? Vad kan vi förbättra? Målet med en utbildningsinsats bör vara att ändra ett felaktigt beteende, att skapa en konstruktiv säkerhetskultur, som skyddar era tillgångar, nämligen information.
Och tänk på att rätt utbildningsmodell är avgörande för att lyckas. Att sätta medarbetarna i fysisk utbildning eller klassisk e-learning om cirka 30–60 minuter per gång tar ansenlig tid i anspråk. Det är dessutom kostsamt och långt ifrån en garanti för att alla tar till sig informationen och ändrar sitt beteende.
Du skyddar inte dina tillgångar, eller ändrar ett beteende, genom att korvstoppa dina medarbetare om säkerhetsrisker vid ett och samma tillfälle, en gång per år. Att medvetandegöra säkerhet är en process, inte ett årligt event.
Befattning: Cybersecurity- och privacyexpert
Företag: Junglemap
Linkedin: Robert Willborg
E-post: rw@junglemap.com
Expertområden: Informationssäkerhet, it-säkerhet, privacyfrågor och beteendebaserad säkerhet
Certifieringar: Certifierad DPO
Bakgrund: Lång erfarenhet av säkerhetsfrågor, såväl från Försvarsmakten som inom näringslivet på en strategisk nivå. Senior rådgivare i säkerhetsrelaterade frågor för näringsliv och offentliga verksamheter. Föreläsare och inspiratör.