Hvordan etablere sikkerhetskultur

Sikkerhetskultur er et perspektiv for å forstå kravene til- og forbedre informasjonssikkerheten i organisasjonen. For å få forbedre informasjonssikkerheten er målet å forbedre kunnskap, holdninger og adferd blant ansatte. Av erfaring er det brukerne som er det svakeste leddet i informasjonssystemer.

Hvorfor sikkerhetskultur er viktig for deg og din bedrift

Trustwave, en anerkjent bedrift som spesialiserer seg på informasjonssikkerhet, har gitt ut den ferske rapporten, “2018 Trustwave Global Security Report“, som tar for seg trusler og trender.

I følge rapporten er phishing/sosial manipulasjon (55%) og utro ansatte (13%) de største truslene for informasjonssikkerheten etterfulgt av mer tekniske trusler som fjernstyring av infiserte enheter (9%), feil i konfigurasjon og oppsett (8%), ukategorisert (7%), kodeinjeksjon (5%) og svake passord (3%).

Sosial manipulasjon omhandler bruk av psykologi for egen vinning ved å manipulere andre mennesker, som for eksempel når du får telefon om at du har virus på PCen fra noen som utgir seg for å være Microsoft, eller når noen ringer kundeservice å utgir seg for å være en annen.

Phising, også kalt nettfiske, er en form for sosial manipulasjon hvor en person sender ut falske meldinger gjennom e-post eller sosiale medier for å lure andre mennesker. Meldingene inneholder lenker til falske nettsider som får deg til å gi fra deg personlig informasjon eller vedlegg som også infiserer enheten din. Målet er i de fleste tilfeller økonomisk motivert.

Utro ansatte er mennesker som har opparbeidet seg tillit i virksomheten og som bruker denne for egen- eller andres vinning. Eksempel er når en ansatt kopierer sensitive dokumenter som idéer, forretningsplaner eller budsjetter, og bruker disse som ressurser for å starte sin egen bedrift. Andre eksempler er ansatte som selger informasjon til konkurrenter eller gjør hærverk for å hindre bedriften i å nå målene. Ofte utføres dette også av personer med stort ansvar.

Utro ansatte er et økende problem

Teknikker og tips for å redusere informasjonstyveri fra utro ansatte er under utarbeidelse, så følg med på bloggen fremover.

Hvis vi med rapporten fra Trustwave legger sammen phishing/sosial manipulasjon (55%) og utro ansatte (13%) ser vi at hele 68% av truslene kan utføres av personer uten teknisk kompetanse. Du må ikke være programmerer eller ha teknisk innsikt for å kopiere dokumenter på en minnepinne eller sende falske meldinger for å lure informasjon ut av andre. Det er psykologi, ikke ingeniørfag.

Disse truslene kan også ha dobbel effekt for oss i Norge hvor vi lever i et tillits basert samfunn som også har visst seg å la seg utnytte av andre. Det å etablere en sikkerhetskultur eller få til en kulturendring kan være krevende, spesielt hvis dette er nytt for bedriften. Mange ansatte har ikke et forhold til informasjonssikkerhet å mener ofte at det også er IT sin oppgave å ta seg av sikkerhet. Derfor krever denne aktiviteten både tid, oppmerksomhet og innsats fra alle involverte, spesielt ledelsen.

Personligheter du møter i norske bedrifter

Her er eksempler på forskjellige mennesker med forskjellige syn på informasjonssikkerhet som man møter på, også blant IT-folk. Sikkerhets-Sigrid mener sikkerhet er det viktigste i verden. Det kan aldri bli for sikkert. Unike Ulla forstår godt hvorfor vi har innført retningslinjene, men dette kan umulig gjelde henne. Effektive Emanuel mener det viktigste er å få jobben gjort. Krav som er i veien for hans effektive arbeidsdag gidder han ikke å følge.

Konfidensialitets-Kari mener det viktigste er å ta godt vare på informasjonen hennes arbeidsgiver sitter på. Hun mener det må ikke lekke noe ut.
Integritets-Ivar mener det viktigste er at informasjonen er riktig å at man holder kontroll på hvem som har gjort hva. Er ikke informasjonen riktig mener Integritets-Ivar det er bare å legge ned virksomheten.

Lojale Lillian mener det viktigste er å følge pålegg fra ledelsen. Når ledelsen har pålagt henne retningslinjer, mener hun det er nok en grunn for det. Lite endringsvillige Ludvik mener det ikke har vært noe problem til nå, så hvorfor skal vi endre noe? Serviceinnstilte Sam mener det viktigste er at bedriften hjelper hverandre og brukerne, slik at alle blir fornøye.

Nødvendig at ledelsen støtter beslutninger om sikkerhetskultur

Når vi ønsker å etablere eller forbedre sikkerhetskulturen må IT få støtte fra ledelsen til å ta de riktige beslutningene. For å få dette til begynner vi med å definere kravene til informasjonssikkerhet. Vi kan begynne med å spørre oss om hvor godt beskyttet er bedriften idag – vi utarbeider en sikkerhetsvurdering:

  • Har vi PCer som fortsatt kjører Windows 7?
  • Har vi definert klare retningslinjer for bruk av privat utstyr i bedriften – hvem eier informasjonen?
  • Bruker ansatte offentlige skytjenester for å lagre sensitiv informasjon?
  • Er data på harddiskene krypterte for å beskytte informasjon ved tyveri av bærbar PC?
  • Bruker vi totrinns-verifisering for å beskytte innlogging til e-post?

Når vi har utført sikkerhetsvurderingen sammenligner vi denne med kravene våre til informasjonssikkerhet. Dette er bransje avhengig, for eksempel et sykehus eller advokatkontor har strengere krav til informasjonssikkerhet enn en byggeentreprenør.
Når vi har kommet frem til aktivitetene som må utføres for å møte kravene, prioriterer vi og finner kostnadene som skal til for å innføre tjenesten eller sikkerhetsmekanismen.

Du trenger ikke å investere i nye produkter eller tjenester for å oppnå informasjonssikkerhet

Av erfaring kan svært mye beskyttes uten at bedriften behøver å gå til innkjøp av nye tjenester eller lisenser. For eksempel totrinns-verifisering og Windows 10 lisens er ofte inkludert i Office 365-abonnementet, og da er det lønnskostnader for utarbeidelse av brukerveiledning og aktivering som påløper. Sjekk hva som er inkludert i tjenestene dere abonnerer på idag.

Del dine bekymringer med ledelsen før dere blir hacket

Hvis du er bekymret for sikkerheten i egen bedrift, er det sannsynligvis en god grunn for det. Lag en kortfattet presentasjon som du enkelt og forståelig presenterer ovenfor ledelsen. Vær tydelig på risikonivå og risikovilje, og bruk eksempler for å overbevise ledelsen og støtte opp dine argumenter, men ikke begynn på noe før dere har avklart. I verste fall kan det oppstå misforståelser som kan få andre inkludert IT og ledelsen til å gå imot deg. Hvorfor det?
Informasjonssikkerhet er et sensitivt tema fordi det omhandler også personvern og kvalitetssikring av andres arbeid på drift og utvikling.

Søk gratis råd om personvern og lover fra NorSIS og Datatilsynet ved behov om dere er i tvil.

Spørsmål kan stilles i kommentarfeltet.

Kilder

Dilemmatrening – informasjonssikkerhet
Difi – Å få til kulturendring
NSB – Erfaring fra opplæringsprogrammer
DNV: Sikkerhetskultur – fra måling til forbedring
Sintef: SjekkIT – et verktøy for måling og forbedring av sikkerhetskultur og sikkerhet

Leave a Comment