Introduktion
Säkerhetskultur är något mer än bara ett buzzword
Många stänger öronen eller låter tankarna driva iväg när de hör ordet säkerhetskultur, vilket är helt förståeligt eftersom det är ett luddigt begrepp som är svårt att sätta fingret på. Det är dessutom ett ord som använts som ”buzzword” i många sammanhang utan att i dessa sammanhang uppfylla något särskilt syfte, vilket vattnat ur begreppet ytterligare.
Varför ska man arbeta med sin säkerhetskultur och vad innebär säkerhetskultur egentligen?
I den här texten har vi tänkt att försöka återuppliva intresset av begreppet säkerhetskultur hos er läsare och även förhoppningsvis skapa en medvetenhet kring varför detta är så viktigt, samt varför det även är så svårt att jobba med.
Säkerhetskultur som begrepp har många definitioner men vi har valt att använda följande definition då vi anser att den skapar en tydlighet som annars ofta saknas:
”Säkerhetskultur som arbets-/utvecklingsområde berör hur en organisations personal och deras värderingar påverkar deras sätt att tänka och agera i förhållande till risk och säkerhet. I en bra säkerhetskultur är samtliga i organisationen medvetna om riskerna och vill aktivt bidra till att minska dessa genom att ta beräknade beslut, vilket innebär att väga medveten risk mot förväntad nytta i varje handling.”
Säkerhetskultur handlar alltså om att vi vill uppnå ett klimat inom en organisation som främjar ett beteendemönster där personalen är medvetna om vilka risker de tar och inte tar risker i onödan utan att de ständigt väger risken mot den förväntade nyttan och den ständiga strävan bör vara att risken ska vara så liten som möjligt.
På så vis skapas det ett skydd för organisationen och en viss motståndskraft gentemot incidenter och dess eventuella konsekvenser. Som ett exempel kan nämnas att vid en genomsnittlig phishing-attack så tar det omkring 3 minuter från att en person klickar på en infekterad länk tills det att angriparen har tillgång till systemet. I och med detta så är det av absolut högsta prioritet att en sådan incident rapporteras så snabbt som möjligt för att de angripna ska ha en chans att begränsa eventuella skador och förhoppningsvis även kunna stänga ute angriparen. Genom en god säkerhetskultur så ökar chanserna för att personal upptäcker phishing-försök och därmed kan undvika dessa. Det ökar även sannolikheten att en person som råkat klicka på en phishing-länk, och misstänker att så är fallet, faktiskt rapporterar det till sin IT-avdelning utan dröjsmål då personen vet om hur viktig tidsaspekten är i dessa fall. Ännu viktigare är att personen i en sådan situation, om den befinner sig i en organisation med god säkerhetskultur det vill säga, inte är rädd för att anmäla incidenten och berätta om sitt agerande.
Detta då personen vet om att för att organisationen ska kunna skydda sig och även lära sig av händelsen i framtiden så krävs det att den får reda på alla detaljer kring incidenten.
Som ni då förhoppningsvis inser så är säkerhetskultur därmed ett mycket viktigt område som kan skydda er organisation mot enorma skador eller begränsa de skador som ni kommer erhålla om ni råkar ut för ett lyckat IT-angrepp. För att kunna skapa förutsättningar som tillåter att en god säkerhetskultur växer fram så krävs det dock påverkan på många faktorer och element, något som både är svårt och tar lång tid.
Så det ligger ett tungt och långt men dock så viktigt arbete framför er som organisation om ni känner att ni ligger efter inom detta område.
Här kommer några tips som skulle kunna hjälpa er på banan med ert säkerhetkultursarbete:
- Var tydliga med vilka värderingar ni som organisation har, både gentemot personer i ledningen och personal i linjeorganisationen. Värderingarna påverkar som sagt i sin tur vilka beteendemönster som främjas och över tid växer fram i organisationen.
- Var tydliga med vilket ansvar personalen har men även vilket ansvar organisationen har gentemot sin personal vad gäller utbildning och kompetenshöjning inom säkerhetsområdet.
- Var tydliga med att personalen ska rapportera in incidenter så fort de upptäcks eller orsakas. Personalen ska heller inte kunna straffas på något sätt på grund av att de rapporterar in en incident eller omedvetet orsakar en, snarare tvärtom bör detta beteende premieras.
- Fundera över vilket beteendemönster som ni vill att personalen ska uppnå och analysera sedan vilka förutsättningar personalen behöver för att kunna uppnå dessa beteendemönster.
- Skapa en plattform för personalen att diskutera säkerhetsrelaterade frågor och särskilt värderingar och beteenden, utan att döma någon för deras värderingar eller beteenden. Se även till att personalen får svar på eventuella säkerhetsrelaterade frågor.
- Börja undersöka avdelningar där incidenter inte har inträffat eller mycket sällan inträffar – gör personalen här något som de andra avdelningarna inte gör och som ni kan kopiera över till andra avdelningar där incidenter är betydligt vanligare?
- Undersök incidenter som inträffar men var noga med att inte ha ett personfokus, det vill säga utred inte enskilda personers agerande för att hitta en ”syndabock” utan se till helheten och vilka förutsättningar som gällde för de inblandade personerna när incidenten inträffade.
Resultatet av ovanstående åtgärder kan leda till en bättre säkerhetskultur där människors ses som en enorm tillgång och styrka istället för en svaghet. Traditionellt sett har vi sett människor som problemet där vi som oftast benämner mänskligt fel/mänskliga faktorn (human error) som orsak till en händelse eller incident. Men om människor är ansvariga för vad som går fel, vem är då ansvarig för när något går rätt till? Säkerhetskultur handlar om att ge människor förutsättningarna och möjligheten att kunna vara ansvariga för när saker går rätt till.