Cybersäkerhets-medvetna användare

För att cybersäkerheten ska fungera i en organisation måste hela verksamheten engageras i arbetet. Det är ledningens ansvar att skapa en säkerhetskultur som genomsyrar hela verksamheten. Några utvalda säkerhetschefer måste styra verksamheten, och dessa bör inkludera tekniska säkerhetsexperter, men även andra personer med starkt säkerhetsintresse är viktiga för att leda säkerhetsarbetet. Den mänskliga känslan och praktisk erfarenhet är viktiga ingredienser i sammanhanget.

Roller

Medarbetare bör tilldelas olika roller och ansvarsområden när det gäller den gemensamma cybersäkerheten.

Några exempel på sådana roller som alla bör arbeta i samspel:

  • Övergripande säkerhetsansvar

  • Tekniker

  • Personal som arbetar med säkerhet ur andra perspektiv

  • Utbildare

  • Kontrollfunktioner 

Åtkomsträttigheter måste också indelas i olika roller. Varje medarbetare måste tillhöra en profil för åtkomst till informationssystemet. Var och en bör bara ha tillgång till den data som krävs för att kunna utföra det egna arbetet. Sådan rollbaserad behörighet ökar säkerheten i organisationen och effektiviteten kan också öka när alla vet vad de har rätt att göra eller inte.

Rollerna ska representera tydliga ansvarsområden och ha enbart den behörighet som krävs för att kunna genomföra sina arbetsuppgifter.

Regler och rutiner

Regler är till för att beskriva hur något ska göras, för att koordinera en grupps handlingar och få gruppen att agera enhetligt. De är nödvändiga för cybersäkerheten och är i stor utsträckning grundpelare i organisationens cybersäkerhet.

Reglerna får inte vara för många, då minskar ofta effektiviteten. Lagom många regler som är lätta att följa är idealet man måste sträva mot. Reglerna måste vara enkla och tydliga och fungera som ett ramverk snarare än en detaljstyrning.

Regler ska utformas så att de kan efterlevas och vara tillräckligt utförliga för att täcka upp för säkerhetsrisker. Om reglerna är för hårda blir det svårt att följa dem. Om reglerna ska läsas och följas av alla får de inte vara för långa, de ska vara enkla att förstå.

Alltså krävs enkla och lagom långa regler som alla förstår innebörden av och lär sig att följa.

Om det händer något trots att reglerna följs, måste de ses över och eventuellt åtgärdas. Reglerna kan behöva uppdateras med jämna mellanrum.

Rutiner är till för att styra hur saker görs i praktiken. Det kan vara allt från automatiserade rutiner gällande åtkomst, till enkla rutiner som att alltid låsa arbetsdatorn när man lämnar skrivbordet.

Utbildning 

Utbildning är nödvändig för cybersäkerheten i en organisation. Utbildningarna kan vara av fler olika slag, som till exempel generella säkerhetsutbildningar som riktar sig till samtliga medarbetare som ett led i att stärka säkerhetskulturen. Dessa utbildningar bör återkomma med jämna mellanrum och uppdateras efter behov.

Men generella utbildningar kan ibland ha svårt att få genomslag om alla deltagare inte känner sig berörda. Om utbildningarna inte är rätt anpassade kan det få vissa deltagare att uppleva att säkerheten inte är deras eget ansvar utan någon annans.

Utöver de generella utbildningarna kan det vara bra med mindre kurser som riktas specifikt mot en grupp och där man känner sig mer delaktig. Utbildningar kan anpassas efter de roller som finns inom organisationen, och efter vilka ansvar och behörigheter som inkluderas i rollerna. Ett sätt att göra utbildningen mer levande kan vara att använda sig av interaktiva datorspel som kompletterande utbildningsverktyg. En sådan utbildning kan bli mer personligt engagerande.

Utbildningar ska vara regelbundet återkommande och aktuella. Kombinera kortare och längre utbildningar i olika intervaller. Kortare utbildningar flera gånger per år kan vara ett komplement till övriga mer omfattande årliga säkerhetsutbildningar. De kortare utbildningarna kan anpassas och uppdateras så att de matchar de aktuella rådande omständigheterna.

Cybersäkerhetskulturen i en organisation kan stärkas genom:

  • Tydliga säkerhetsroller

  • Väletablerade säkerhetsrutiner

  • Ett optimalt antal enkla regler

Och sist men inte minst:

Alla ska vara delaktiga i organisationens cybersäkerhet.

Behöver du hjälp med din organisations cybersäkerhet? Läs mer om våra tjänster!