Hvordan forankre en IT-sikkerhetskultur

For mange SMBer er strategien for en god IT-sikkerhetskultur et møte eller to i året for å informere om gjeldende IT-instruks og -policy. Dette forankrer hverken en god IT-sikkerhetskultur eller de ansattes forståelse for sin rolle i IT-sikkerheten.

Hvorfor er IT-sikkerhetskultur viktig?

Et eksempel på viktigheten av en god IT-sikkerhetskultur ble presentert i en rapport fra Nasjonal Sikkerhetsmyndighet. De gjorde en test mot en virksomhet i norsk statsforvaltning hvor det ble simulert et “e-postangrep”. Resultatet er illustrert i figuren under:

Statistikk e-postangrep

90% av mottakerne klikket på linken, som i noen tilfeller er nok til at andre kan få kontroll over den aktuelle maskinen. Dette, i kombinasjon med at nesten hver femte bedrift har opplevd phishing eller andre sosiale manipulerings-angrep (Mørketallundersøkelsen 2018), fastslår viktigheten av en god IT-sikkerhetskultur.

Hvordan forankre en IT-sikkerhetskultur?

Kultur er noe som bygges opp over tid og er ofte et resultat av mange tilfeldige valg og holdninger. Denne kulturen bør ikke bli et resultat av tilfeldighetene og må utvikles, vedlikeholdes og oppmuntres.

Inkluder alle

En god sikkerhetskultur blir ikke skapt hvis ansatte blir sendt til IT-avdelingen eller IT-ansvarlig for et sikkerhetskurs. De vil da få oppfatning om at IT-avdelingen er ansvarlig for IT-sikkerheten, når det i virkeligheten er hele selskapets ansvar. Alle i selskapet, fra øverste leder til medarbeidere, må delta på eventer som styrker IT-sikkerhetskulturen. Et alarmsystem er lite verdt hvis én person alltid lar døren stå ulåst.

Opplæring

Som nevnt trykket 90 % på den tilsynelatende legitime linken under NSRs simulering. Hvis man hadde spurt de samme personene i forkant ville de nok sagt at de er forsiktige med hvilke linker de trykker på, og det blir tydelig at de ikke har nødvendig kunnskap. For at dette, og andre uønskede hendelser, skal unngås i ditt selskap, må ansatte læres opp. Flere og flere angrep baserer seg på såkalt “sosial manipulering”, og de ansatte må vite hvordan dette kan oppdages og håndteres.

Kortere og hyppigere seanser

Lange, større møter et par ganger i året kan virke avskrekkende på ansatte. I seanser hvor IT-sikkerhetskulturen skal styrkes, er det viktig at det er en lav terskel for å kunne stille spørsmål og delta i diskusjoner. Kortere og hyppigere seanser i mindre grupper vil ofte gjøre at flere er aktive i diskusjoner, som igjen gjør at alle får mer ut av seansen.

Videreutvikling og vedlikehold

Når dere har fått på plass en IT-sikkerhetskultur er det viktig å ikke se på arbeidet som ferdig. Truslene endrer seg hele tiden, og forsvaret må derfor også videreutvikles for å holde tritt. Utover videreutvikling må også kunnskapen hos ansatte vedlikeholdes. Dette gjøres ved å ha hyppige seanser, men den spesifikke policyen må dokumenteres gjennom en IT-instruks. Denne kan de ansatte lese hvis de har et spesifikt spørsmål eller for å forfriske kunnskapen.

Anerkjenn god etterlevelse

IT-sikkerhet er ikke alles favorittemne på arbeidsplassen, og det må ofte oppmuntring til for å få de ansatte motivert til å etterleve IT-instruksen. Ved hjelp av tekniske verktøy (som fjernadministrering) eller stikkprøver, kan man finne ut hvem som faktisk har et fokus på IT-sikkerhet, og gi anerkjennelse i form av en oppmerksomhet eller bonus.

Selv om du er under oppfattelsen at din bedrift er godt sikret, er det i mange tilfeller ikke helt riktig. Les mer om “The SMB Security Gap” her.

Trenger dere hjelp med IT-sikkerhetskulturen? Ta kontakt her