Bedre informasjonssikkerhet: Nøklene er Ola og Kari

Norske bedrifter har blitt gode på å investere i forebyggende informasjonssikkerhet. Men sikkerheten er likevel som et eggeskall – det kan knekkes av de som vet hvordan, - og innenfor er det mykt. Nøkkelen til enda bedre sikkerhet er deg og meg.

Janne Hagen

Artikkelen gir noen gode råd for å oppnå bedre informasjonssikkerhet, og er basertpå forfatterens doktorgradsarbeid: ”The Human Factor behind the Security Perimeter. Evaluating the effectiveness of organizational information security measures and employees’ contribution to security”.

Hva er god nok sikkerhet? Det er flere syn på dette, men ett aktuelt syn kan være: ”Godt nok”, og innebærer først og fremst å tilfredsstille krav som lovverket setter. Når så disse kravene er tilfredstilt, kan neste trinn være å gjøre en økonomisk avveiing av sikkerhetsinvesteringer opp mot forventet tap. Dessverre er det forsket lite på hva som er god nok informasjonssikkerhet sett fra et økonomisk perspektiv. Svaret her vil sannsynligvis avhenge av hvor villig bedriften er til å ta risiko.

Invester i et bredt spekter av tiltak! Det viser seg at en god leveregel er å investere i allment kjente tiltak. Forskning viser at majoriteten av datakrimhendelser kunne værte unngått hvis bedriftene hadde investert i kjente og tilgjengelige tiltak. I Norge er bedriftene flinke til å investere i forebyggende kjente tekniske tiltak. Norske sikkerhetsledere er opptatt av både å kunne håndtere risiko og å tilpasse tiltak til lovkrav. Likevel skjer det uønskede hendelser. Få sikkerhetsledere er opptatt av økonomi og sikkerhetskultur. Dette kan skyldes den rolle sikkerhetsarbeidet har i norske organisasjoner og det fokus som ofte er på it-sikkerhet framfor sikkerhet i arbeidsprosesser. De som er gitt ansvaret for informasjonssikkerheten, nedprioriterer ofte den menneskelige dimensjonen, dvs. it-brukerne.

Ved sakens kjerne? Det viser seg at omtrent halvparten av norske bedrifter gir ikke sine ansatte noen form for opplæring i informasjonssikkerhet. Når opplæring blir gitt, gis den helst til nyansatte. Det er sjelden at fast ansatte får tilbud om opplæring eller at opplæringen blir gjentatt regelmessig. Bedriftene har også et godt grep på den formelle sikkerhetsorganisasjonen: Mange norske bedrifter er gode på å plassere ansvaret for it-sikkerhet, og de sørger for at det utvikles en sikkerhetspolicy og at sikkerhetsrutiner er på plass. Her er det imidlertid et potensial for forbedring. Ansatte sliter med mange barrierer i forhold til å ha en ønsket sikkerhetsatferd. Mens de aller fleste ansatte har gode sikkerhetsholdninger og -intensjoner, sier likevel en betydelig mindre prosentandel at de har en sikkerhetsatferd som matcher den gode intensjonen. Det finnes mange forklaringer og løsninger på dette avviket mellom gode sikkerhetsholdninger og adferden. Jeg vil framheve fire:

1) Forbedre ansattes mangelfulle kunnskap om informasjonssikkerhet. Mange vet ikke hva som anses som et sikkerhetsbrudd eller hvilken atferd de konkret er forventet å ha i ulike situasjoner. Den som er ansvarlig for datasikkerhet er lite synlig. Denne svakheten gjenspeiles også i opplæringspraksisen i bedriftene, som er diskutert over. Et viktig tiltak her er kompetanseheving. Involver medarbeidere i å utvikle policy, rutiner, og tiltak, og gi dem gjentatt opplæring når sikkerheten ikke inngår som en del av arbeidsoppgavene.

2) Skap et godt arbeidsmiljø. I dette ligger både trivsel og stress. En av informantene i studien sa følgende: ”Ja jeg tror arbeidsmiljø har noe å si for informasjonssikkerheten. Rettferdighet er aller viktigst – dette bygger lojalitet til arbeidsplassen. Tidsfrister og stress kan medføre glipp, men påvirker ikke lojaliteten din. Jeg har ikke vært vitne til sabotasje, men til lav lojalitet der det ble tappet informasjon som en lojal medarbeider neppe ville ha gjort. Det blir litt sånn fordi det er mulig og litt for egen vinning. Det er nok vanligere med ubevisste feil enn med bevisste sikkerhetsbrudd.” I samme åndedrag kan nevnes omstillinger og hva dette gjør med arbeidsmiljø og økt risiko for sikkerhetsbrudd. Litteraturen advarer om at det finnes minst en utro tjener ved enhver omorganisering. Et godt arbeidsmiljø og sterk lojalitet vil på en annen side kunne styrke sikkerheten, slik som en annen informant uttrykte det: ”Jobben er som et team. Alle ivaretar sikkerheten. Et godt arbeidsmiljø ivaretar arbeidsplassen også med hensyn til sikkerhet.” 

3) Legg vekt på brukervennlige sikkerhetstiltak. Kryptering er lite utbredt, og hovedårsaken er lav brukervennlighet. Alt for ambisiøst sikkerhetspersonell kan gjøre mer skade enn nytte. I verste fall kan det bli som denne informanten sa: ” Jeg opplevde at sikkerhetstiltakene ble omgått fordi de ble en hindring til å gjøre jobben – selv utvikleren omgikk dem.” 

4) Vær obs på at sikkerhetskulturen i ulike virksomheter kan korrigere atferd både positivt og negativt. Kulturen kan variere mellom avdelinger i samme virksomhet. Usikre ansatte ser heller på atferden til nære kollegaer eller rådfører seg med erfarne kollegaer, framfor å spørre sikkerhetslederen. Hvis det ikke er lov å bruke minnepinner, og en ”rollemodell” likevel gjør det, så kan det fort bli en holdning at det er greit, fordi minnepinnene letter arbeidet. Det synes også å være klart at i miljøer der ansatte tar vare på hverandre, og der det er takhøyde for å si i fra mellom kollegaer, der oppnår man også en korreksjon på uønsket sikkerhetsatferd. Dette krever imidlertid at ansatte har god nok kunnskap om informasjonssikkerhet og kjennskap til sikkerhetspolicyen og rutinene. Det er ikke nok å bare lage en sterk formell sikkerhetsorganisasjon. Kun hvis konsekvensene er vurdert å være veldig store, blir en hendelse rapportert oppover i systemet. 

Så hvordan gå fra god til enda bedre? Involver ansatte i arbeidet med informasjonssikkerhet. De bedriftene der informasjonssikkerhet krevde daglig involvering og engasjement blant alle ansatte kom ut med bedre sikkerhetsatferd enn de bedriftene med den beste formelle sikkerhetsorganisasjonen.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss