Sikkerhet kan oppfattes som noe “IT-avdelingen driver med” - altså et sikkerhetsnett mange tar for gitt. Men en god sikkerhetskultur i alle ledd er avgjørende for å beskytte virksomheten mot cyberangrep og andre sikkerhetsproblemer.
Nasjonal Sikkerhetsmyndighet (NSM) definerer sikkerhetskultur som;
“... et sett med verdier som deles av medarbeidere i en virksomhet, og som er med på å påvirke deres tanker og forventinger til sikkerhet”.
Kjernen i dette kan brukes til å definere enhver type kultur, og kulturbygging er noe alle virksomheter er gode på - eller?
Det er mange fellesnevnere for å etablere, styrke og videreutvikle en god sikkerhetskultur.
Om forfatteren av innlegget
Andreas Skaret har mer enn 18 års erfaring med systemutvikling og sikkerhet. Han har i tillegg lang erfaring med ledelse, forretningsutvikling, smidige metodikker og prosjektledelse i teknologiselskap og som konsulent.
Her er noen faktorer som bør være på plass for å bygge en god sikkerhetskultur.
Ledelsen må gå foran som gode eksempler
Ledelsen må gå foran som gode eksempler, både i ord og handling.
Det må etableres en felles forståelse av hva sikkerhet er for organisasjonen, og hva konsekvensen kan være om det skjer en utilsiktet hendelse.
Ledere er også ofte de som blir utsatt for målrettede angrep, og i en travel hverdag er det enkelt å gjøre feil.
Et enkelt tiltak for å starte denne reisen er å kurse ledelsen, for eksempel med spesialtilpassede kurs fra NSM.
Kompetansebygging i organisasjonen
Kompetansebygging i organisasjonen betyr ikke nødvendigvis at alle ansatte sendes på kurs. Dette er ofte vanskelig å gjennomføre og kostbart både i tid og penger. Bedrifter kan løse mye ved å gjennomføre for eksempel NanoLearning-leksjoner. Dette er korte, konkrete tekster eller videoer som ikke tar mer enn noen minutter å gå gjennom.
Uansett metode så må opplæringen være forståelig for alle og inkludere oppfølging og repetisjon for å bygge og opprettholde kompetansenivået til ansatte. I tillegg må rutiner, krav og bestemmelser som er viktige for IT-sikkerhet holdes oppdatert og være godt kjent.
I Bouvet har vårt fagmiljø innen sikkerhet iverksatt flere initiativer som har bidratt positivt til sikkerhetskulturen i hele selskapet:
Security Champions
Et av disse tiltakene er Security Champions som rulles ut i hele Bouvet. En Security Champion er en pådriver for å få heve fokuset på sikkerhet i sitt prosjekt. Dette kan være så enkelt som å sørge for at en identifisert sikkerhetmangel registreres i en Jira-sak, og så jobbe for at saken blir prioritert, forteller Jon-Thomas Eliassen som er en av pådriver for initiativet i Bouvet.
Security Champions er ikke noe nytt. Blant annet måler OWASP virksomheter på om de har Security Champions i deres Software Assurance Maturity Model.
Sikkerhetsakademiet
Det kjøres også nå en pilot på nytt utdanningsprogram for å øke sikkerhetskompetansen internt i Bouvet.
Programmet har fått navnet Sikkerhetsakademiet og på syv uker skal deltakerne bli tryggere på sikkerhet i sin arbeidshverdag.
Noe av det viktigste sikkerhetsakademiet gjør, er å skape engasjement og gjøre sikkerhet til noe gøy og noe som er lett å jobbe med. Og det er jo også noe av det mest utfordrende med sikkerhet samtidig, forteller Johan Paramanathan og Torkil W. H. Grimsrud som er initiativtakerne bak Sikkerhetsakademiet.
sikkerhet.bouvet.no
Vi har latt oss inspirere av andre pionerer på sikkerhet, blant annet NAV og Equinor, som har valgt å dele åpent noe av hvordan de tenker rundt sikkerhet.
Bouvet har derfor lansert https://sikkerhet.bouvet.no som er en ressurs vi aktivt videreutvikler og bruker i våre prosjektleveranser.
Her kan alle våre konsulenter bidra til å gjøre innholdet bedre – og vi har valgt å åpne det for alle slik at vi sammen kan bli bedre.
Vær en STAR
Et viktig moment i kompetansebygging og bevisstgjøring er STAR eller Stop, Think, Act og Review. Dette er prinsipper som brukes i mye annet enn bare IT-sikkerhet, men som passer svært godt også her.
Dette bør være kjernen i enhver bedrifts sikkerhetskultur, med noen svært enkle grep og rutiner vil veldig mange potensielt farlige situasjoner unngås. Får du en e-post som virker rar eller blir oppringt av noen som gjør at du stusser litt – Stop, Think, Act og Review. Tenk deg om og meld fra om det!
Åpen kommunikasjon
Det er viktig å ha en åpen kommunikasjonskanal for å oppmuntre til intern deling av kunnskap og erfaringer om IT-sikkerhet. Det kan være lurt å ha regelmessige møter der ansatte kan dele erfaringer eller stille spørsmål om IT-sikkerhet. Dette er også gode forum for å åpent fortelle om ting som ikke har gått bra, vise konkrete eksempler på phishing-mailer og liknende – å gjøre en enkel feil skal ikke straffes, men læres av, og denne læringen må spres i organisasjonen på en trygg og god måte.
Når en organisasjon har dette på plass er det gode muligheter for at IT-sikkerhet og den interne sikkerhetskulturen er robust og godt forstått av alle. Men ikke glem de som starter i bedriften; hvordan sørger vi for at nyansatte blir en del av denne gode kulturen fra dag 1 – eller aller helst før? Har bedriften en god sikkerhetskultur er dette noe som kan snakkes om allerede i en intervjuprosess – kanskje er det til og med et konkurransefortrinn?