Informationssäkerheten är inte längre en IT-fråga. Det är i allt väsentligt en strategisk fråga för företagsledningen. Allt fler organisationer förstår att olika typer av cyberattacker utgör ett allvarligt hot mot hela verksamheten. Enligt en studie från KPMG uppger 18 procent av globala företagsledare att cyberbrottslighet är det största hotet mot deras lönsamhet och tillväxt de kommande åren. En ökning från 10 procent sedan i fjol.
Säkerhetskulturen avgörande
Att inse att en fråga är strategisk är en sak. Att veta hur man hanterar den långsiktigt, en annan. Och här finns inga ’quick fixes’ att ta till. Att stärka informationssäkerheten handlar i grund och botten om att skapa en fungerande säkerhetskultur byggd på öppenhet.
De flesta organisationer går igenom ett antal utvecklingsfaser i sitt säkerhetsarbete:
- Förnekelse
Många organisationer befinner sig fortfarande i en typ av förnekelse, en inställning om att ”så länge inget händer så behöver vi inte göra någonting”. - Reaktivt
Alltför många företag och organisationer har insett att informationssäkerhet är viktigt – när olyckan väl har inträffat. Incidenter leder alltid till aktivitet. Men det reaktiva förhållningssättet räcker inte. - Systematiskt
Vi ser att allt fler av Junglemaps kunder har informationssäkerheten som en del av sina ledningssystem. Det ger en stabilitet och ökad möjlighet till att både agera snabbt och effektivt. - Proaktivt
När säkerhetstänket börjar bli en del av organisationens utvecklingsarbete så har man kommit en bra bit på väg. Säkerhet som läggs till i efterhand blir aldrig bra. Säkerhet som tänks in redan när nya system och arbetssätt sätts upp, får mycket bättre effekt. - En del av vardagen
Först när informationssäkerheten är en del av alla medarbetares vardag, när ”IT-säkerheten sitter i ryggmärgen” kan man säga att en säkerhetskultur med möjlighet att påverka säkerhetsnivån i företaget på ett positivt sätt finns på plats.
För att en organisation skall ha en möjlighet att de här stegen och skapa en fungerande säkerhetskultur, krävs också en öppenhetskultur. En organisationskultur som gör att alla medarbetare känner sig uppmuntrade att dela med sig av fel och misstag – även sådana de själva har gjort – och där den som rapporterar misstänkta fel och brister blir belönad, inte kritiserad och ifrågasatt.
Stort mörkertal
Även om vi ständigt möts av rapporter om det ökade antalet cyberattacker, så är mörkertalet fortfarande stort. De flesta organisationer som blir utsatta för t.ex ransomware väljer att inte kommunicera detta, i ett försök att inte skada sitt varumärke. Det finns studier som pekar på att bara 10 procent av alla cyberattacker verkligen rapporteras.
Jag tycker att det är ett stort misstag. Vi har sett flera exempel det senaste året på att organisationer som varit öppna med vad som drabbat dem, tvärtom har stärkt sina varumärken genom sin öppenhet. Såväl Coop, som Kalix kommun och Norsk Hydro har alla vunnit uppskattning och respekt för sitt sätt att kommunicera vad de varit med om.
Det som behövs är en öppenhetskultur både inom organisationer och mellan organisationer. Inom branscher och över sektorsgränser. Utan en gemensam öppenhetskultur kommer vi som arbetar för ökad informationssäkerhet aldrig att ha en chans mot cyberkriminella – som ju hela tiden delar med sig av kunskap och erfarenhet.
Vi lanserar nu 2023 års upplaga av Junglemaps kurs Information Security Awareness. Många av våra kunder har använt sig av den här kursen kontinuerligt i många år. Och effekterna är tydliga: Dels uppger 93 procent av deltagarna att de är mer medvetna på säkerheten efter att ha gått kursen, dels berättar många av våra kunder om att antalet frågor till IT-avdelningen ökar, att fler medarbetare anmäler felaktigheter och saker som verkar misstänkta.
Och det är precis vad NanoLearning handlar om. Att skapa medvetenhet - året runt. Säkerhet är ingenting du har bara för att tekniken är på plats. Det handlar i slutändan om vad dina medarbetare gör. Med NanoLearning kan vi både övervinna glömskekurvan och bidra till en säkerhetskultur byggd på öppenhet.
