Home » Teknologi » Säkerhet » Skapa en företagskultur med informationssäkerhet i första rummet

Skapa en företagskultur med informationssäkerhet i första rummet

Tech Page One

Couple Looking at a Bike in a Shop

 

Under årens lopp har jag lett en hel del säkerhetsavdelningar och en av mina käpphästar har alltid varit att passa på att vända en kris till något gott. På senaste tiden har vi sett ett flertal exempel på företagskriser på grund av bristande säkerhet. Vi har sett exempel på uppmärksammade dataintrång i allt från detaljhandeln till sjukvården och onlinedatingtjänster. Idag är alla bekymrade över datasäkerheten, även de som bara använder tekniken sporadiskt.

Snart är det dags för National Cyber Security Awareness Month, ett evenemang som bidrar till att öka människors medvetenhet om hot och sårbarheter som kan äventyra den information som de arbetar med dagligen. Oräkneliga undersökningar visar att de flesta dataintrång inte beror på fel i maskin- eller programvara, utan på fel begångna av människorna som sköter

informationssystemen. Den ”mänskliga faktorn” gör sig gällande igen … Detta innebär följaktligen att nästa generations brandväggar och antivirusprogram inte kommer att bli mer avancerade eller effektiva än människorna som använder (eller felanvänder) dem.

Det ökade antalet intrång borde fungera som en väckarklocka för företagen – informationssäkerhet måste bli ett ansvar som delas av alla som jobbar inom en organisation. Ett framtidssäkrat företag är ett företag som gått ifrån den gamla uppfattningen att säkerhet bara angår andra (exempelvis chefer, säkerhetsansvariga och IT-tekniker). Personal, affärspartners och alla andra som fått tillgång till känsliga data måste sluta tänka på säkerhet som ett nödvändigt ont. Säkerhet är tvärtom en konkurrensfördel, något som skapar tillväxt och får vinster att öka. Precis som informationstekniken nu genomsyrar hela verksamheten måste företagen också skapa en företagskultur där man värnar om datasäkerheten.

Intelligent riskhantering

Monitor Showing Cookie RecipeHärmed inte sagt att de anställda ska kura handlingsförlamade inne i sina bås av fruktan för cyberbrottslingar och för att de skulle kunna råka lämna en blotta som bovarna kan utnyttja. Enda sättet att komma någonstans i affärer idag är att tillämpa intelligent riskhantering. Faran ligger ofta i ambitiösa medarbetare som känner trycket att prestera, att spara tid och vara flexibla, och därmed börjar ta genvägar eller kringgå rutiner och säkerhetsprotokoll. Det gäller att etablera en företagskultur där säkerheten kommer i första rummet. Bästa sättet att skapa en effektiv arbetsmiljö är att hantera risker på ett intelligent sätt, att undvika onödiga risker och använda den senaste säkerhetstekniken. De anställda behöver också få veta om det finns en hotbild mot företaget och om det finns några särskilda sårbarheter att ta hänsyn till.

Nyckeln till att etablera en säkerhetskultur är god och tydlig kommunikation. Det gäller för företagsledningen att vara konkret – prata inte i allmänna ordalag om hypotetiska hotbilder som kan bli aktuella, utan prata om dokumenterade intrång, potentiella sårbarheter internt och hur en attack skulle kunna iscensättas. Min erfarenhet är att om du är ärlig och kan visa upp exempel från verkligheten – reella hot – så kommer folk att ta dig på allvar. Och om de tar in vad du säger så kommer det också att fastna i bakhuvudet. Det är först när ingen tror på dig som det blir riktigt farligt – då börjar personalen snart att slarva med säkerheten både här och där. Presentera ett konkret hot så lovar jag att de kommer att lyssna.

Både morot och piska

Aristoteles menade att en verkligt god människa handlar utan att frukta bestraffning eller eftertrakta någon belöning. Även om man gärna vill tro att människan har utvecklats genom årtusendena så är godheten ännu ingen norm. De flesta lär sig redan vid en tidig ålder sambandet mellan handlingar och konsekvenser. Därför är det viktigt att företagen använder både morot och piska för att skapa en företagskultur där informationssäkerhet prioriteras. Vinstdelning, bonusar och andra belöningssystem tjänar som ett påtagligt incitament för den som gör bra ifrån sig. Incitament visar att det ligger i allas bästa intresse att skydda de informationstillgångar som genererar den vinst som alla får ta del av. Vinstdelning och bonusar kan vara kraftfulla argument för att få anställda att byta fokus och arbeta på ett smart sätt på daglig basis.

Även det omvända gäller. Företagen måste även ha ett antal piskor redo för att beivra slarv med informationssäkerheten. Om någon avsiktligen struntar i viktiga säkerhetsprotokoll som alla fått ta del av, och vägrar följa rutiner som skapats för allas välmående, måste det självklart också leda till repressalier i någon form. De flesta som får en tillsägelse eller någon annan påtaglig reprimand brukar också rätta in sig i ledet. Tills det händer något radikalt med den mänskliga naturen måste vi tyvärr fortsätta tillämpa både piska och morot.

Oavsett om du som ledare måste belöna eller bestraffa måste du alltid betona det personliga ansvaret. Alla måste ta ett sitt individuella ansvar och känna att de personligen berörs av säkerhet och efterlevnad. På så vis kan vi skapa en armé av fotsoldater på spaning efter säkerhetsluckor och hot.

En sammankopplad värld

Det ömsesidiga beroendet mellan den fysiska världen och datasäkerheten växer exponentiellt. De skarpa gränserna mellan jobb och privatliv håller på att lösas upp. Med så tunna gränser måste en företagskultur som sätter säkerheten i första rummet också vara medveten om hur öppen och uppkopplad omvärlden är. En sådan säkerhetskultur måste vara medveten om kontexten den verkar i. Man måste lära sig att ta höjd för den moderna öppenheten och de oväntade hot som kan bli en följd av denna öppenhet.

Vad gör du själv för att skapa en företagskultur inriktad på informationssäkerhet?

 

 

John McClurg

John McClurg

John McClurg riktar den strategiska inriktningen och taktiska operationer av säkerhetstjänster för Dells interna globala säkerhetstjänster. Han är ansvarig för att förbättra säkerhetsinitiativ och integrera Dells säkerhetserbjudanden. Innan han kom till Dell, var McClurg vice VD för global säkerhet på Honeywell.

Senaste inlägg:

 

Taggar: Säkerhet, Teknologi