Bygger du sikkerhetskultur i selskapet? Slik kommer du i gang!

Mennesker er og forblir de svakeste leddene i en virksomhet. Ved å bygge en sikkerhetskultur øker man kunnskapen og forståelsen hos de ansatte for hvilke trusler man står ovenfor.

Bygger du for sikkerhetskultur?

En cybersikkerhetskultur handler om en virksomhets verdisett, kunnskap, synspunkter, holdninger og handlinger i tandem med deres tekniske sikkerhetskontroller og trusselforståelse. For å lykkes med å innføre et cybersikkerhetsprogram må man innse at mennesker er og forblir de svakeste leddene i cyberforsvaret til en virksomhet. En god cybersikkerhetskultur har som mål å gjøre dine ansatte til en styrke fremfor en risiko.

Hva trenger man for å komme i gang med en sikkerhetskultur?

For å komme i gang med å bygge en sikkerhetskultur trenger man noen som er ansvarlig for å styre opplæringsprogrammet. Det må kjøres som et prosjekt med støtte fra høyeste hold. Deretter: 

  • Rekrutter de rette menneskene til å drive programmet 
  • Vær godt kjent med virksomheten
  • Sett et målbilde (scope)
  • Mål sikkerhetsappetitten til bedriften 
  • Kartlegg actions som må utføres for å nå målbildet 
  • Sett datoer for når de forskjellige actions skal starte og stoppe 
  • Definer metrikker 
  • Definer suksess 

Bygging av en sikkerhetskultur innebærer at både ledelse og ansatte snakker samme språk, har felles forståelse av sin egen virksomhet og strategi. Transparens vil være en viktig nøkkel. En sikkerhetskultur må bygges sammen med de ansatte, og ikke være noe som presses på dem. 

Teamet som skal drive programmet må være en blanding av både tekniske, administrative og andre fagpersoner. Teamet må ha en sterk forståelse av virksomheten, virksomhetens mål og truslene de står overfor. Dette gjelder både små trusler som eksisterer, samt målrettede angrep. 

Gap-analyser

Det er vanskelig å vite hvordan man skal nå målbildet hvis man ikke finner ut hvor man står i dag. Gjør en gap-analyse med intervjuer, saumfaring av dokumentasjon, sikkerhetshåndbok, sikkerhetspolycier, og gjør stikkprøver for å finne ut hva som fungerer og hva som ikke fungerer. 

Forskjellige avdelinger har forskjellige behov

Det er lite hensiktsmessig å dra en sikkerhetstester gjennom et e-læringskurs om phishing angrep, og det har heller ikke mye verdi for en selger og få innføring i hvordan man konfigurerer en brannmur. Man må utføre en gap-analyse på de forskjellige avdelingene og kartlegge aktiviteter man tror vil ha mest effekt. Det beste er å kjøre sikkerhetsprogrammet for kulturbygging som iterative prosesser hvor aktiviteter blir kjørt flere ganger slik at man enklere kan se om programmet har ønsket bedringseffekt. Koster det mer enn det smaker? Da må man revurdere aktiviteter. 

Last ned guide: Alt du bør vite om informasjonssikkerhet

Klikk her for å laste ned guiden

Metoder for å øke sikkerhetskompetansen

Det er mange typer aktiviteter man kan benytte for å spre det glade budskap, finne ut hvor man står og måle forbedring. Uansett hvilke metoder man velger så må det defineres mål, metrikker for å se om man nådde målet, og viktigst av alt; at aktiviteten er morsom og føles givende.  

  • Spill: Kanskje den dyreste teknikken man kan benytte for å drive læring og kommunikasjon, men også helt klart den mest effektive, minneverdige og originale. Det kan være både dataspill eller brettspill. Kostnaden og kompleksiteten for å utvikle spill i dag er lavere enn noen gang. Det finnes nok av bøker og tutorials for spill skrevet i Python, JavaScript, HTML5, C#, Java, og mange flere. Hva med et multiplayer spill man skal hoppe inn i til gitte tider for å løse noen puzzles sammen med kolleger? Eller hva med et kortspill ala CPU Wars som krever null setup tid og kan spilles under lunchen? Utvikler man noe som dette så kan det også benyttes på stands på konferanser, nettsider, og for rekruttering. 
  • Video: Kanskje å gå den interaktive veien er litt vel overdrevet når man skal kommunisere med de ansatte over nettet. Forventningene til videoformatet ligger lavere enn noensinne. Ta frem en mobil og skyt noen morsomme snutter som man kan distribuere på intranettet og chatte klientene. 
  • Scavenger Hunt: Gjør et event til en temabasert teambuilding øvelse. Del de ansatte inn i grupper og sett de ut på en skattejakt med litt morsomme øvelser og godt drikke. Det vi mennesker husker best er gode opplevelser sammen med andre. 
  • Penetrasjonstester: Lei inn et firma (f.eks. Visma Consulting) som kan levere et opplegg som både tester nåværende fysisk sikkerhet, de ansattes godvilje og dine offentlige systemer. Det finnes firmaer der ute som leverer slike tester som en del av et opplæringsløp. Fysiske penetrasjonstester, og spesielt social engineering angrep som phishing, er i etisk gråsone, men gjort riktig kan dette være en veldig effektiv og behagelig læringsprosess. Du har faktisk bruk for å vite hvem som alltid installerer programvare som ikke er godkjent og hvem som alltid trykker på lenker i mailer. 
  • Foredrag: Hent inn gode foredragsholdere som kan fortelle noen spenstige historier rundt IT sikkerhet. 
  • Workshops: Hold workshops hvor grupper skal løse en spesifikk oppgave relatert til sikkerhet. La de forstå sannsynlighet og konsekvens, og hvordan dette er koblet til konfidensialitet, integritet, tilgjengelighet og virksomhetens forretningsområder. 
  • Plakater og flyere: Heng opp plakater rundt om i lokalene til virksomheten. Innholdet på plakatene fungerer best med humor og dårligst med strenge ordre. Gjerne plakater med selvironi. Plakatene kan minne folk på å låse maskinene sine før de går på do eller til lunch, eller at servicepersonen på kaffeautomaten skal aldri vandre rundt alene. Flyers kan deles ut med tips om hvordan sette opp to-faktor autentisering på sine private kontoer, bruke fysiske sikkerhetsprodukter (kanskje virksomheten kan ordne med gode tilbud på YubiKeys e.l.), hva skal man se etter på en suspekt mail, etc. 
  • Achievement Badges: Belønn de som følger sikkerhetsråd. Gi de badges når de melder ifra om merkelige e-poster, finner merkelige ting på laptopen, minner en kollega om at han eller hun må låse maskinen eller lignende.
  • Webinar og e-læringskurs: Lei inn spesialister innen forskjellige fagområder som kan snakke om cybersikkerhet. Webinar og kurs kan lagres på intranettet slik at alle kan se de en eller annen gang. Gi de som ser på en achievement badge.

Det finnes mange flere metoder og aktiviteter man kan ta i bruk, og jeg er sikker på du sitter med noen gode ideer som ikke er listet opp her. Men hvordan vet vi at de ansatte har fått med seg noe i det hele tatt? Det er lett å telle hvor mange som var med, men ikke hvor mange som fulgte med. Her kan man ha tester senere (ved endt kampanje). Hvem var det som sa at når du er ferdig på skolen så trenger du ikke ta prøver lenger?  

Hver virksomhet må finne sin egen stil og metode for å bli bedre. Alle har sine særegne ting å ta høyde for. Finnes det en felles resepsjon til et bygg med flere virksomheter? Benytter alle virksomhetene samme vaskefirma? Samme kaffeleverandører? Fruktleverandører? Er det et felles sikkerhetssystem alene, et for hvert firma, eller en kombinasjon? Er det Guri som sitter ved inngangsdøren? Endres rutiner når Guri er på ferie og det er Jostein som sitter der? Har du åpent landskap eller cellekontor? Drifter du din egen infrastruktur? Din egen mailserver? Eller kjøres alt i skyen? 

Denne listen kan bli ufattelig lang så vi stopper her, men du ser hvor jeg vil. Har du en dødsone på overvåkningskamera eller en dårlig sikret printer? Kulturen blant de ansatte? Dette må du ta høyde for. 

Phishing er en av de vanligste teknikkene for cyberangrep, men det finnes mange forskjellige metoder som brukes for å utfordre sikkerheten deres. Les mer om de vanligste phishing metodene her.

Iterative prosesser

Et sikkerhetskulturprogram må være en levende prosess som ikke er begrenset til sikkerhetsmåneden oktober. Sørg for synlighet hos de ansatte til enhver tid ved å promotere og distribuere læringsmateriale. En sikker måte å feile med sitt sikkerhetskulturprogram på er hvis de som kjører det er en godt skjult silo som ikke er kommunisert i virksomheten og som har sitt materiale på et intranett som krever sort belte i RegEx for å finne. De som styrer programmet bør ha faste møter med ledelsen og rapportere hyppig. Det er ikke sikkert ledelsen er så interessert i hva dere har å si, men de er veldig interessert i å ikke være morgendagens forsider i avisene.  

Hvordan bygge cybersikkerhetskultur uten et prosjekt

Det er ikke alle som har råd, tid eller kompetanse til å iverksette en iterativ prosess som skal gå over lang tid slik som beskrevet over. Men det er fortsatt mulig å plukke ut enkelte aktiviteter og kjøre de som engangstiltak. Alle monner drar. Det å leie inn noen til å holde en workshop eller et foredrag er innenfor de flestes lommebok. Og har man ikke rå, vel, så kanskje alt du trenger er litt social engineering og så dukker det opp en nisse gratis. Lykke til!

Behov for en sikkerhetsrådgiver?

Vi har rådgivere med mange års erfaring med ledelse og styring av store sikkerhetsprosjekter. Både for å øke kompetansen i virksomheter, skape en sikkerhetskultur og utvikle sikkerhetsstrategier. 

Kom i kontakt med oss

Mest populære