Nasjonal sikkerhetsmåned er en kampanje arrangert av Norsk senter for informasjonssikring (NorSIS), og avholdes i oktober hvert år. Målet med kampanjen er å øke kompetansen og sette fokus på internettsikkerhet, og gjennom dette gjøre den digitale hverdagen tryggere.

Sikkerhetsarbeid er en kontinuerlig forbedringsprosess som man aldri kan si seg ferdig med. Nasjonal sikkerhetsmåned er en god anledning til å se nærmere på virksomhetens sikkerhetsarbeid, og vurdere og prioritere hva som skal gjøres videre.  

I denne artikkelen gir vi deg fem tips til tiltak du kan iverksette for å få mest mulig ut av sikkerhetsmåneden.

1. Sett eget sikkerhetsarbeid under lupen

Før dere går i gang med opplæring av ansatte eller andre tiltak, kan det være lurt å se på hvor dere står i dag. Hva er statusen på det nåværende sikkerhetsarbeidet? Denne listen med kontrollspørsmål kan være et godt sted å starte for å sette i gang de riktige samtalene rundt sikkerhet i virksomheten: 

• Har dere kartlagt hvilke topphendelser dere jobber for å unngå og er disse risikovurdert?
• Er policy og prosesser dokumentert, og samsvarer det med de ansattes handlemåte? 
• Har dere en jevnlig gjennomgang av hvilke sikkerhetstiltak som skal prioriteres? 
• Fungerer kommunikasjonen og informasjonsflyten mellom IT-/sikkerhetsansvarlig og ledelsen? 
• Vet dere hva som har blitt gjort innen sikkerhet og hva som er i pipeline for det kommende året? 
• Har dere en fast gjennomgang av rapporter som ledelsens gjennomgang?

Les mer: Slik bistår Netsecurity med intern opplæring

2. Arranger skrivebordsøvelser eller større beredskapsøvelser

Enten det er på avdelingsnivå, for hele selskapet eller for toppledelsen, er Nasjonal sikkerhetsmåned en god anledning til å teste beredskapsplanene.

“Plans are nothing; planning is everything” sa den tidligere amerikanske presidenten Dwight D. Eisenhower. En beredskapsplan vil aldri kunne dekke absolutt alt, men for hver gang virksomheten kjører en øvelse er man enda bedre rustet til å takle uønskede scenario som kan oppstå. Ved å iscenesette en hendelse og øve på hvordan den skal håndteres, får alle involverte en bevissthet rundt hva som kan skje og hvordan de bør opptre.

Noen ganger kan beredskapsplanen ha instrukser for den enkelte som ikke samsvarer med hva refleksen og intuisjonen sier at man skal gjøre. Det er derfor viktig å regelmessig gjennomgå disse planene slik at de er oppdatert og i tråd med hvordan organisasjonen faktisk opptrer. Å endre måten man handler på i en situasjon preget av stress og hastverk vil ta tid, og den eneste måten å lykkes med det er gjennom repetisjon. Mange virksomheter bruker mye tid i planleggings- og gjennomføringsfasen av en øvelse. Ofte er det i avslutningsfasen, der man skal debriefe, identifisere læringspoenger og bruke disse til å oppdatere de opprinnelige planene, prosessene og rutinene (tiltakskortene), at det virkelige læringsutbyttet ligger. 

De fleste virksomheter har i årevis gjennomført brannøvelser regelmessig. Brannøvelser har blitt en vanesak blant ansatte. I en verden som blir stadig mer digitalisert bør både skrivebords- og beredskapsøvelser være en like naturlig del av den generelle øvelsesaktiviteten. Ofte er det lettere å forstå alvoret i fysiske trusler som brann, men med tanke på antallet angrep vi ser mot virksomheter årlig viser at det er nettopp disse it-sikkerhetshendelsene vi bør trene på. 

3. Skap psykologisk trygghet for å heve nivået på  sikkerhetskulturen

Google gjennomførte en medarbeiderundersøkelse for å se hva som kjennetegner effektive team. Konklusjonen var at psykologisk trygghet er den viktigste ingrediensen for å få medarbeidere som trives og presterer godt. Psykologisk trygghet handler om å føle at man kan være seg selv og komme med sine meninger og innspill uten at det får negative konsekvenser. I et arbeidsmiljø preget av psykologisk trygghet har man et godt utgangspunkt for å etablere en åpenhetskultur der folk tør å si fra. Dermed er sjansen stor for at de melder fra om uhell eller feil de selv har begått, eller når de mistenker at noe er galt. 

Et kjennetegn på en sunn og god sikkerhetskultur er nettopp at det kommer inn avviks- og hendelsesrapporter fra ansatte. Dersom det stadig tikker inn varsel fra ansatte som mistenker at det er noe rart med en e-post eller som frykter de klikket på en lenke de ikke burde klikket på, er det et godt tegn. Det er lett å anta at null avvik betyr at alt er i sin skjønneste orden, men så enkelt er det ikke. Trusler er over alt, hele tiden, og at ditt selskap ikke står overfor hendelser er lite sannsynlig. 

Les også: Disse dataangrepene bør du kjenne til i 2021

Nasjonal sikkerhetsmåned er en god anledning til å se nærmere på egen sikkerhetskultur, og da kan hendelses- og avviksrapportering være et fint sted å starte. I en sunn sikkerhetskultur heier man frem de som melder fra. Når vi jobber med mennesker både kan og vil det forekomme manuelle feil/menneskelig svikt. Det betyr at det bør finnes systemer som tar høyde for det, og rask og effektiv rapportering for sikkerhetshendelser og avvik er en del av denne beredskapen. En enkel måte å gjøre dette på er å aktivere knappen “Report Message” i e-post-klienten. Da kan ansatte melde avvik, også anonymt.

Ved å kommunisere tydelig at det er til virksomhetens beste å kartlegge sikkerhetshendelser og avvik, gi klare instrukser for hvordan dette skal gjøres, og implementere systemer som tilrettelegger for rapportering, har dere et godt utgangspunkt. 

Har dere kjørt en phishingøvelse kan det ligge mye viktig informasjon i etterarbeidet. Ved å evaluere resultatet av en øvelse, gjerne sammen med deltakerne, kan dere sikre at dere faktisk lærer noe av det. Her synes noen det er fristende å trekke frem data som hvilken avdeling som hadde dårligst resultat, for å “vekke” ansatte. Skremselspropaganda fører sjelden noe godt med seg. Dere legger sannsynligvis bedre til rette for en varig læring fra en slik øvelse ved å i større grad fokusere på det positive ved at folk meldte fra. Vis hvordan man ønsker at ansatte skal opptre overfor eksempelvis lenker og mistenkelige e-poster. De som “gikk i fella” under skrivebordøvelsen og trykket på den farlige lenken er mest sannsynlig allerede klar over at de gjorde det, og vil være svært interesserte i å forstå hvordan de kan unngå å gjøre det igjen. 

Skal man ha en god sikkerhetskultur, er det viktig at ledelsen praktiserer det de lover. Sier man at hendelses- og avviksrapportering er ønskelig atferd, må de ansatte også oppleve å bli møtt på en god måte dersom de melder avvik. Her gjelder det både å kommunisere godt og tydelig, og å vise at det man sier faktisk stemmer. 

4. Sett virksomhetens sikkerhetstiltak i kontekst

Dersom en arbeidsprosess eller rutine må endres for å ivareta sikkerheten, kan det fort oppleves som slitsomt og forsinkende for den ansatte som berøres av endringen. Får man derimot en forklaring på hvorfor en rutine må endres, slik at man forstår målet og hensikten, blir overgangen gjerne lettere. Kontekst er et nøkkelord her.

Vi vet at det er mye motivasjon i informasjon. Å kjenne det reelle trusselbildet virksomheten lever med, øker gjerne den enkeltes motivasjon for å opptre på riktig måte. Samtidig er det viktig at man skiller mellom det man trenger å vite og det som er spennende å vite om. Balansen mellom å vite nok til å forstå men samtidig ikke så mye at det blir “information overload” kan være hårfin. Et tips for å sikre at ansatte inkluderes og informeres er å invitere dem med i workshoper der man jobber med virksomhetens målsettinger. Ved å vite hva målene er og hvordan man sammen skal jobbe for å nå dem, er sjansen stor for at ansatte får et helt annet eierskap til det de driver med. 

La oss bruke et eksempel der en sikkerhetsleder ønsker å stille krav til enkelte momenter i en bakgrunnssjekk. Grunnen er at tilsvarende virksomheter har opplevd at kriminelle har prøvd å infiltrere gjennom nyansettelser. Dersom HR-avdelingen ikke får en forklaring på konteksten, hvorfor det nye momentet er viktig, vil det fort fremstå som en tvangstrøye og merarbeid for dem. 

Nasjonal sikkerhetsmåned er en naturlig arena for å ta denne samtalen i virksomheten. Kanskje kan dere bruke måneden til teambuilding, ved å skape psykologisk trygghet i ansattgruppen blir det lettere å ha en åpen dialog rundt det meste, også virksomhetens sikkerhetsarbeid. 

Les mer: Tips til økt IT-sikkerhet i bedriften

5. Øk de ansattes bevissthet rundt sikkerhet 

Sikkerhet er et stort og komplekst tema, men det betyr ikke at du må være fagekspert for å forstå hvorfor det er viktig for virksomheten din. Utfordringen er ofte å omforme kunnskap om sikkerhet til prosesser og praksis for virksomheten. Nasjonal sikkerhetsmåned er en glimrende mulighet til å sette kunnskap om sikkerhet på agendaen, enten det gjelder en avdeling, ledergruppen eller alle ansatte.  

Foredrag og kunnskapsformidling er et godt tiltak i seg selv, og i tillegg er det en fin og nyttig måte å samle virksomheten rundt et felles fokus. En annen måte å fremheve tematikken på, er å henge opp informasjonsplakater i kontorlandskapet, gjerne på steder som kaffeautomaten, der folk naturlig stopper opp. Ved å starte samtalen om og øke bevisstheten rundt sikkerhet sammen med de ansatte, er det større sjanse for at temaet blir med tilbake til resten av arbeidshverdagen. Intensjonen er oppnådd når en ansatt eller en avdeling reflekterer rundt hvordan temaet kan påvirke meg / oss, enten direkte eller våre leverandører eller leveranser.

6. Bruk oktober til å planlegge videre 

Nasjonal sikkerhetsmåned er en gyllen anledning til å planlegge sikkerhetsarbeidet for det neste året. Mange virksomheter gjør mange ting riktig, men sikkerhetsarbeid handler like mye om å gjøre de riktige tingene. Om dere ikke allerede jobber ut fra et årshjul for sikkerhet, vil det være en god idé å innføre det. 

Av og til trenger man ekstern støtte for å skape forståelse. Er du usikker på hvordan du skal gå frem her, kan det være verdt å ta kontakt med en ekspert som kan bistå. Netsecurity har et godt utvalg av webinarer, og tilbyr også besøk fra våre sikkerhetseksperter.