<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Brannfare i cyberskogen?

200540812-001-nr2.jpg ‹ Tilbake til artikler

200540812-001-nr2.jpg

Den beste måten å unngå skogbrann på er å skape holdninger så ingen tenner bål når skogen er knusktørr, og at man raskt igangsetter slukking hvis det likevel skulle begynne å brenne.

Er ikke det et beskrivende bilde som kan kobles til mange temaer i livet? Det er iallefall svært overførbar til cybersikkerhet i virksomheter: Hvis vi vanner medarbeiderne med sikkerhetskompetanse regelmessig, og sikrer en kultur hvor varsling og rapportering av sikkerhetshendelser er en selvfølge, vil virksomheten bli vesentlig mer robust og klar for fremtidens teknologi og utfordringer!

Endre kultur...

Det å endre kulturen i en virksomhet kan være tøffe greier. Det er derfor kanskje ikke rart at metaforer som tankskip og isfjell dukker opp i litteratur rundt fagfeltet. “Du trenger endringskrefter som er sterkere enn motkreftene” forkynte mine professorer på BI - Bjørn Hennestad og Øyvind Revang. Også fortsatte de med å understreke at den gamle kulturen fort smetter tilbake hvis man ikke passer på.

Innenfor mitt fagfelt - sikkerhet - har jeg sett at disse endringskreftene oftest slippes løs i to tilfeller:

  1. Ved alvorlige sikkerhetshendelser
  2. Ved nye myndighetskrav og reguleringer (eller revisjon av disse)

Begge scenarier underbygger det Harvard-professor John P Kotter påpeker som første oppgave hvis du skal drive endring: “Establish a sense of urgency”. (La det ikke være tvil om at bloggen er skrevet av en som ser opp til Hennestad, Revang og Kotter!).

Sikkerhetsopplæring har blitt vanlig

For noen år siden betrodde en sikkerhetssjef seg til meg, og sa at det var under angrep at han fikk sine “5 minutes of fame”. Det var da han hadde ledelsens oppmerksomhet og muligheten for å sette igang sikkerhetstiltak være seg innen teknologi, organisasjon og prosesser.

Heldigvis har de fleste organisasjoner i dag et noe mer modent risiko og internkontrollsystem. Sagt med andre ord så har de kommet noen skritt videre fra å ha en ad-hoc tilnærming til sikkerhet.

Et av de tiltak som ofte går igjen er sikkerhetsopplæring av ansatte, konsulenter, vikarer og leverandører. Dette er kanskje ikke så rart da brukere på innsiden svært ofte er direkte involvert i sikkerhetshendelser; eksempler kan være at de:

  • åpner virusinfiserte vedlegg i e-post
  • utfører store transaksjoner basert på instruksjoner fra en svindler
  • glemmer sensitive kundedata på bussen
  • sender konfidensielle e-post til feil mottaker

Viktigheten av sikkerhetsopplæring understrekes også av sikkerhetsstandarder som ISO 2700x og ISFs Standard of Good Practice. Tilsyn og myndigheter har da også i økende grad tatt med dette temaet i sine lovkrav og tilsyn.

Men hvorfor må det være så kjedelig?

Mange virksomheter har operasjonalisert sin sikkerhetsopplæring gjennom klasseromsundervisning for nyansatte og e-læring for resten. Dette er i seg selv ikke feil, men gang på gang har jeg hørt medarbeidere spørre “hvorfor må sikkerhetsopplæring være så kjedelig?” Er det grunn til å spørre om slik opplæring som skal treffe “alle” i praksis treffer “ingen”

Grunnleggende teori rundt kommunikasjon og opplæring innbefatter en vurdering av målgruppen du skal nå og hvilke virkemidler som vil ha effekt. Toppledelsen forventer eksempelvis en annen kommunikasjon enn nyansatte. IT-medarbeidere har andre behov og interesser enn salgsfolk. Nyansatte kan forøvrig være IT-medarbeidere, ledere og andre.

Gamification og Game of Threats

En av veiene vekk fra kjedelig læring er gamification. Gjennom å spille skaper vi en herlig læringsenergi krydret med konkurranseinstinkt og engasjement. Jeg har sett dette gang på gang, være seg ved bruk av simulatorer i Forsvaret, spørrekonkurranser i klasserommet (du har vel spilt den norske suksessen Kahoot?) og de siste ukene har jeg også fått oppleve det gjennom PwCs Game of Threats (GoT).

GoT er et spill som lar ledergrupper og andre trene på å være angripere og forsvarere i cyberscenarioer. Å se en CEO og CIO forandre seg til en aggressiv hackerbande mens HR-sjefen og CFO plutselig viser et genuint engasjement i teknologiske sikringstiltak er i mangel på andre ord - kjempegøy, og aller viktigst - de som spiller lærer masse!

Plan - Do - Check - Act

Skal du få dreis på sikkerhetskulturen og opplæringsaktivitetene i din organisasjon så må du lage en plan, utføre riktig aktiviteter og måle at arbeidet funker, eller Plan - Do - Check - Act som Edwards Deming ville sagt.
Her er mine fire anbefalinger til dere som skal ut å flytte på sikkerhetskulturelle isfjell og tankskip:

  1. Ledelsesforankring: Øverste ledelse er essensielle kulturskapere. De må være oppriktig dedikert og motivert til å skape en god sikkerhetskultur, og understreke at dette er nødvendig for at virksomheten kan fortsette å utvikle seg digitalt!
  2. Tilpasset opplæring: Øk medarbeiderne og de eksterne sin kunnskap gjennom målrettet opplæring. Nyansatte, IT-medarbeidere og konsernledelse har helt ulike behov for opplæring, og du må derfor tilpasse opplæringen.
  3. Gjør det spennende og gøy: Interaktive leksjoner på mobilen, eksterne foredragsholdere og gamification som Game of Threats skaper dynamikk, motivasjon og læringsvillighet, noe som er sentralt for å oppnå effekt.
  4. Måle: Gjør årlige målinger på organisasjonens kunnskap og holdninger. Bare slik vil du kunne justere og forbedre sikkerhetsopplæring og awareness.

Din virksomhet blir aldri ferdig med sikkerhetsarbeidet, og en viktig forebyggende del av dette er å regelmessig drive opplæring og bevisstgjøring.

For husk: Den beste måten å unngå skogbrann på er å sørge for at skogen ikke er knusktørr!

 

Eldar Lillevik

Eldar Lillevik

Jeg heter Eldar og er med som direktør i PwCs satsning rundt Cybersecurity. De siste ti årene har jeg hatt lederstillinger i DNB, NSM NorCERT og Forsvaret med ulike aspekter av fagfeltet. Fra starten i 2013 til høsten 2016 var jeg også styreleder i FinansCERT. Etter flere år med fokus på Incident Response (IRT) og håndtering av bedragerier i digitale kanaler (eFraud) har jeg fått en stadig økende fascinasjon for sikkerhetsledelse og sikkerhetskommunikasjon. Sistnevnte er helt essensielt for å få sikkerhet ut i kapillærene av virksomheten. Hvis du har synspunkter, innspill, kommentarer eller spørsmål til noe du leser blir jeg glad for å høre fra deg!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Slik unngår du bakdører i din bedrift

Hvor mange av de du kjenner har blitt hacket? Kanskje de mistet tilgangen til Instagram-kontoen, spammet venner med linker til tvilsomme ...

Les artikkelen
Les artikkelen

Når er din virksomhet trygg?

Når vil din virksomhet være trygg mot cyberhendelser? Mest sannsynlig aldri. Men med god koordinering mellom cybersikkerhet og ...

Les artikkelen
Les artikkelen

Bygg tillit med “Zero Trust” som sikkerhetsstrategi

Om du har hørt mye om det som kalles Zero Trust i det siste så er du ikke den eneste. I juli i år lanserte det britiske National Cyber ...

Les artikkelen