Cybersäkerhet är idag inte bara en teknisk utmaning utan även en mänsklig utmaning – en fråga om säkerhetskultur. Kriminella utnyttjar inte alltid enbart tekniska brister utan förlitar sig ofta på människor för att komma åt känsliga uppgifter och det är därför den mänskliga faktorn som är orsaken till de mest allvarliga säkerhetsintrången. Att bygga och underhålla en stark säkerhetskultur är därför en oerhört viktig del i arbetet med cybersäkerhet.
Vad är säkerhetskultur?
Säkerhetskultur är gemensamma värderingar, föreställningar, attityder, kunskaper och beteenden hos individer och grupper i en organisation inriktade på att skapa säkerhet i verksamheten. Säkerhetskultur handlar om hur medarbetares värderingar påverkar sättet att tänka och agera i förhållande till risk och säkerhet. Den har därför stor betydelse för hur man arbetar och påverkar de anställda dagligen.
Vad är en bra säkerhetskultur?
I en bra säkerhetskultur är alla medvetna om riskerna och har både kunskap och vilja att genom sitt agerande bidra till att minska riskerna. Säkerhetstänkandet är en självklar del av verksamheten. Säkerhetskulturen har med andra ord en stor betydelse för hur man arbetar, prioriterar och på olika sätt skapar förutsättningar för medarbetarna att arbeta på ett säkert sätt. Ytterligare en sak som kännetecknar en god säkerhetskultur på en arbetsplats är att ledningen prioriterar och hanterar säkerhetsfrågor på alla nivåer i verksamheten och att de är en del av kulturen.
En bra säkerhetskultur minskar risken för säkerhetsintrång
Enligt NTT Securitys rapport Risk, Value Report 2019 kostar det i genomsnitt 30 MSEK att återhämta sig efter ett säkerhetsintrång. För 2018 var siffran 10 MSEK vilket alltså innebär att kostnaden har ökat dramatiskt. Med en bra säkerhetskultur kan man minimera onödiga säkerhetsproblem. Därmed minskar risken för stora driftstörningar och man kan undvika höga kostnader för att försöka reparera säkerhetsintrången.
Unga är ofta mindre medvetna om det viktiga med säkerhetskultur
Enligt en rapport från NTT Ltd är de under 30 ofta de som är sämst på säkerhet på en arbetsplats. Millennials, dvs de som är födda mellan 1980 och 2000, har vuxit upp med teknik som en naturlig del men det gör dem alltså inte automatiskt mer cybersäkra, snarare tvärtom. För dem är snabbhet, produktivitet och flexibilitet viktigare och de har ofta en mer avslappnad attityd mot cybersäkerhet vilket faktiskt gör dem till en tickande säkerhetsrisk. Att göra dem medvetna om risker samt lära dem hur de kan jobba säkert utan att det blir mer oflexibelt är därför prioriterade åtgärder.
Hur blir vi bättre på säkerhetskultur?
För att bli bättre på säkerhetskultur behöver attityder och beteenden ändras. Organisation behöver se cybersäkerhet och säkerhetskultur som en verksamhetskritisk aktivitet, och inte som en isolerad IT fråga och ledningen måste prioritera frågan.
Det som ska genomsyra arbetet med säkerhetskulturen är att tänka på säkerhet som något som möjliggör arbetet – inte hindrar det.
Några enkla konkreta åtgärder som alla kan följa är följande:
- Har du något av värde hemma eller på arbetsplatsen så låser & larmar du samt håller koll på vem som får komma in. Tänk likadant med digital information.
- Använd inte samma lösenord till allt – och använd gärna tvåfaktorsidentifiering när det går
- Tänk på att använda bra lösenord och lämna aldrig ut lösenordet till någon annan
- Undvik att surfa på publika wi-fi nät där säkerheten inte är den bästa
- Klicka inte på länkar i misstänkta phishing-mail och rapportera till IT-avdelningen så fort du misstänker att du blivit utsatt för ett phishing-försök.
- Försök ha regelbundna ”boost-sessions” där ni pratar om säkerhet och påminner om vilka säkerhetspolicys som finns, samt går igenom innehållet i dessa.
- Ha uppdaterade enheter – dvs genomför alla uppdateringar. Anledningen är att dessa uppdateringar innehåller säkerhetsförbättringar som du givetvis ska se till att ta del av
Behöver du hjälp med hur du kommer igång med en bättre säkerhetskultur på din arbetsplats?
Välkommen att kontakta oss på Advenica. Vi har lång erfarenhet av cybersäkerhet, vet vad som krävs och vilka rutiner och processer som du behöver gå igenom för att kunna skapa en stark säkerhetskultur.
