De fleste virksomhedsledere ved, at organisatorisk sikkerhed er vigtigt. Men i disse dage betyder udtrykket "organisatorisk sikkerhed" så meget mere, end det har gjort tidligere. Det handler ikke bare om at installere et antivirusprogram på medarbejdernes computere og tænke, at man så er beskyttet.
Man kan ansætte de bedste IT-sikkerhedsfolk og købe den mest sikre software, og det er stadig ikke nok. Selv højprofileret organisationer med alle ressourcer til deres rådighed er ikke immune overfor fejl, der kan lede til et brud i sikkerheden. Løbende tests og høje krav til IT-sikkerhedssystemet kan ikke beskytte en virksomhed mod cybertrusler, hvis medarbejderne ikke kender til vigtigheden af cybersikkerhed.
Alle virksomheder har altså brug for en god cybersikkerhedskultur.
Hvad er en cybersikkerhedskultur?
Begrebet cybersikkerhedskultur refererer til holdninger, viden, antagelser, normer og værdier hos en organisations arbejdsstyrke med hensyn til cybersikkerhed. Disse er formet af organisationens mål, struktur, politikker, processer og ledelse.
En god cybersikkerhedskultur er en kultur, hvor elementer fra den organisatoriske kultur (politik, proces, ledelse, sociale normer osv.) og elementer fra den individuelle kultur (holdninger, viden, antagelser osv.) stemmer overens med organisationens tilgang til cybersikkerhed, der manifesterer sig i cybersikkerhedsbevidst adfærd.
Kernen i at skabe en effektiv cybersikkerhedskultur er at anerkende, at mennesker gør en organisation sikker, ikke teknologi. Mennesker er både det bedste cyberforsvar og det svageste led i cybersikkerhedskæden. Så det er afgørende at skabe et miljø, hvor medarbejderne har viden og instinkt til at beskytte virksomheden.
Menneskelige fejl er fortsat den førende årsag til databrud rundt om i verden. Med andre ord kan virksomheder have deres hardwaresikkerhed på plads, men det er det menneskelige element, der giver problemer i sidste ende.
Når alle på dit team, fra nyansatte til din CEO, har en interesse i og viden om sikkerheden af operationelle data, har du skabt en cybersikkerhedskultur.
Så hvordan undgår vi de menneskelige fejl?
De fleste mennesker vil gerne gøre det rigtige. I en cybersikkerhedskultur lærer du dine medarbejdere, hvad det rigtige inden for cybersikkerhed er, så når de står over for beslutninger, er deres standardvalg altid det rigtige.
Skab en kultur
Når du skal opbygge en god cybersikkerhedskultur, skal du starte med det helt basale. Målene for cybersikkerhedskulturen skal være strategiske, organisatorisk afstemte og risikoafstemte. Du skal forstå, hvordan den nuværende cybersikkerhedskultur i din organisation ser ud, hvis der overhovedet er en. Det er vigtigt at forstå, hvordan tankesættet og adfærden i din virksomhed er nu, så du kan afgøre, hvor de væsentlige sikkerhedshuller er og derefter udvikle en plan.
Du skal udarbejde et udkast til virksomhedens politikker. Få alle teamledere - inklusive dem fra privatlivs-, sikkerheds- og HR-teamene - involveret og giv alle den vejledning, de har brug for. Og gør politikkerne rimelige. Retningslinjer, der gør dine medarbejderes arbejde sværere, vil ikke være effektive, uanset hvor sikre, de kan virke.
Et eksempel kan være en standardpolitik for virksomhedskodeord. Hver adgangskode skal være på minimum 14 tegn, og den skal være kompleks. Derudover kan ikke bruges mere end én gang.
Den gennemsnitlige amerikanske e-mailadresse er forbundet med omkring 130 onlinekonti, så det betyder, at personen skal have 130 komplekse, unikke adgangskoder. De skal derudover også skiftes hver 90. dag.
Denne tilgang til adgangskoder er meget sikker, men den er næsten umulig at overholde og fungerer derfor ikke i praksis i en virksomhed.
Endelig er det afgørende, at når du opretter en cybersikkerhedskultur eller implementerer ændringer i din cybersikkerhedskultur, at du lytter til dine medarbejdere. Du skal blive ved med at lytte til dine medarbejdere og forstå, hvordan ændringer påvirker den måde, hvorpå de engagerer sig i cybersikkerhed. At have en objektiv og ærlig forståelse af, hvordan din indsats bliver modtaget, vil hjælpe dig med at foretage de rigtige justeringer for at fortsætte med at bevæge dig mod dit mål.
Giv folk, hvad de har brug for, så de kan skabe succes
Produktivitetssoftware og -tjenester, der understøtter best practise inden for cybersikkerhed, gør sikkerhedsrelaterede beslutninger nemmere. Dit team har også brug for træning. Awareness-træning sætter fokus på cybersikkerhed og cybertrusler og øger medarbejdernes bevidsthed, så de konstant er opmærksomme på potentielle cybertrusler.
Når du har skabt en cybersikkerhedskultur, skal du opretholde den, og medarbejderanerkendelse kan hjælpe. Selv en uformel meddelelse om de seneste problemer, som en medarbejder har gjort IT-afdelingen opmærksom på, kan øge engagementet og gøre folk mere begejstrede for at dele, hvad de finder. Dette kan også hjælpe med at opretholde kommunikationslinjerne mellem sikkerhedsteamet og resten af virksomheden, hvilket er vigtigt. Folk skal føle sig opmuntret til at stille spørgsmål og give udtryk for bekymringer uden at blive dømt.
Tallene taler for sig selv
I 2014 rapporterede IBM, at menneskelige fejl var årsagen til hele 95 procent af alle databrud verden over. I 2020 estimerede en undersøgelse foretaget af Stanford University og sikkerhedsfirmaet Tessian, at mennesker var skyld i 88 procent af alle databrud.
Medarbejderne i en virksomhed udgør altså en rigtig stor sikkerhedsrisiko, men det er forholdsvis nemt at reducere den risiko markant ved at skabe en god cybersikkerhedskultur.
Med rimelige politikker, nyttige værktøjer, tillid og awareness-træning hjælper du dit team med at træffe de rigtige beslutninger, inden eller når tingene går galt.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer
