Informasjonssikkerhet er ikke lenger kun et teknisk IT-problem. Det er i hovedsak et strategisk problem for organisasjonsledelsen. Flere og flere organisasjoner forstår at ulike typer cyberangrep utgjør en alvorlig trussel mot hele virksomheten. Ifølge en studie fra KPMG oppgir 18 prosent av globale bedriftsledere at nettkriminalitet er den største trusselen mot lønnsomheten og veksten de kommende årene. Det er en økning fra 10% siden i fjor.
Sikkerhetskulturen er avgjørende
Å erkjenne at en sak er strategisk er én ting. Å vite hvordan man skal håndtere det på lang sikt, en annen. Og det er ingen "quick fixes" her. Styrking av informasjonssikkerheten handler i bunn og grunn om å skape en fungerende sikkerhetskultur bygget på åpenhet.
De fleste organisasjoner går gjennom disse stadiene i sikkerhetsarbeidet:
- Fornektelse
Mange organisasjoner er fortsatt i en type fornektelse, en holdning om at "så lenge ingenting skjer, trenger vi ikke å gjøre noe." - Reaktiv
For mange bedrifter og organisasjoner har innsett at informasjonssikkerhet er viktig når ulykken først har skjedd. Hendelser fører nesten alltid til handling, men den reaktive tilnærmingen er ikke nok. - Systematisk
Vi ser at stadig flere av Junglemaps kunder har informasjonssikkerhet som en del av sine styringssystemer. Det gir stabilitet og økt mulighet til både å handle raskt og effektivt. - Proaktiv
Når sikkerhetstenkning blir en del av organisasjonens utviklingsarbeid, har du kommet langt. Å "legge til sikkerhet" sent i prosessen er aldri bra. Sikkerhet, som allerede er vurdert når nye systemer og arbeidsmetoder settes opp, har en mye bedre effekt. - En del av våre daglige rutiner
Bare når informasjonssikkerhet er en del av hver enkelt medarbeiders hverdag. Når IT-sikkerhet står i sentrum. Er en sikkerhetskultur med mulighet for å øke bedriftens sikkerhetsnivå på plass.
For at en organisasjon skal ha mulighet til å ta disse grepene for å skape en fungerende sikkerhetskultur, kreves det også en åpenhetskultur. En organisasjonskultur som gjør at alle ansatte føler seg oppmuntret til å dele feil og mangler - selv de de har gjort selv – er viktig. Det er også viktig å jobbe for en kultur hvor de som rapporterer mistanke om feil og mangler blir belønnet, ikke kritisert og stilt spørsmål ved.
Skjult statistikk
Selv om vi stadig får rapporter om det økte antallet cyberangrep, er det bare toppen av isfjellet. De fleste organisasjoner som er utsatt for for eksempel ransomware velger å ikke kommunisere dette, i et forsøk på ikke å skade merkevaren deres. Det er studier som indikerer at bare 10% av alle cyberangrep faktisk blir rapportert.
Jeg mener dette er en stor feil. De siste årene har vi sett flere eksempler på organisasjoner som har styrket sine merkevarer gjennom sin åpenhet. Både det norske industriselskapet Norsk Hydro, det svenske detaljhandelsselskapet Coop og Kalix kommune har alle høstet takknemlighet og respekt for sin måte å kommunisere det de har vært gjennom på.
Det som trengs er en kultur for åpenhet både innad i organisasjoner og mellom organisasjoner. Innenfor bransjer og på tvers av sektorgrenser. Uten en felles åpenhetskultur vil vi som jobber for økt informasjonssikkerhet aldri ha en sjanse mot nettkriminelle – som tross alt hele tiden deler kunnskap og erfaring seg imellom.
Vi lanserer nå 2023-utgaven av Junglemaps kurs i informasjonssikkerhet. Mange av våre kunder har brukt dette kurset kontinuerlig i mange år og effektene er tydelige: 93% av deltakerne sier at de er mer bevisste på sikkerhetsspørsmål etter endt kurs, og mange av våre kunder forteller oss at antall spørsmål til IT-avdelingen øker, at flere ansatte rapporterer feil og ting som virker mistenkelige.
Det er akkurat dette NanoLearning handler om. Skape bevissthet - hele året. Sikkerhet er ikke noe du har bare fordi teknologien er på plass. Det handler til syvende og sist om hva dine ansatte gjør. Med NanoLearning kan vi både overvinne glemselskurven og bidra til en sikkerhetskultur bygget på åpenhet.