”Åh nej, jag har klickat på en länk!”

Vad gör du om en medarbetare säger ”Åh nej, jag har klickat på en länk!”?

Tobias Ander talar på konferensen Informationssäkerhetskultur den 28 april. Han är idag IT-säkerhetschef på Försvarsmakten (FMTIS) och driver företaget Securebyme AB.

Vi ställde några frågor till honom inför konferensen.

Vad gör du som ansvarig för informationssäkerheten om en medarbetare säger ” Åh nej, jag har klickat på en länk!”?
Bekräftar för min kollega att hen gjort rätt som berättar det. En snabb rapportering av inträffade incidenter ger ökade möjligheter till rätt respons.

Rapportering av misstag och incidenter är en viktig dela av det kontinuerliga lärandet om informationssäkerhet. En säkerhetskultur bygger på att tillit till organisationen och ett kontinuerligt lärande från erfarenheter och misslyckanden är etablerad. 

Varför är det viktigt att införa en informationssäkerhetskultur?
Även om vi har teknik som skyddar är medarbetarna den första försvarslinjen vid försök till cyberattacker eller stöld av data. Ofta finns en stereotypisk bild av att det är medarbetarna som orsakar problem, tvärtom är det individerna i en organisation som är den viktigaste resursen för att lyckas med informationssäkerhet.

Med uppdaterade kunskaper och mandat att agera kan du rapportera och åtgärda för att minimera skadan.  Du vet kanske också som medarbetare vet hur reservplanen ser ut och kan upprätthålla verksamheten.

Hur kan utbildning och ansvar för informationssäkerhet anpassas till medarbetarna olika roller i organisationen?
Beroende på vilka roller vi har i organisationen behöver vi olika kunskaper om hotbild och skydd mot angrepp. Som chef och ledare behöver du försäkra dig om att dina medarbetare förstår risker för olika arbetsuppgifter och får kunskap för att kunna ta ansvar.  Den som är ansvarig för system och tjänster kan ha ett utökat ansvar och behöva fördjupade kunskaper. Det viktigaste är att alla medarbetare får tillräcklig kunskap för att känna trygghet i att använda system och veta hur de ska hantera en uppkommen situation.

Hur får du acceptans av medarbetarna för en säkerhetskultur för informationssäkerhet?
Acceptans för en säkerhetskultur kräver att chefer och ledare ger alla medarbetare utrymme och kunskaper för att kunna ta det ansvar för informationssäkerheten som förväntas av dem. Med rätt kunskap och en förståelse från ledningen för att misstag kommer att ske när det gäller informationssäkerhet skapas tillit till organisationen.

Att ledning och chefer föregår med ett gott exempel är avgörande för att kunna motivera för alla medarbetare att vara en del av säkerhetskulturen.

Hur bibehåller organisationen informationssäkerhets när den har etablerats
Genom att ta tillvara lärande från inträffade incidenter och aktuell kunskap om hot från omvärlden. Säkerhetskulturen måste vara relevant för alla medarbetare och chefer i organisationen och utgå från medarbetarnas förutsättningar.

Ett annan viktig aktivitet är att kontinuerligt mäta och utvärdera säkerhetskulturen för att veta var organisationen står när det gäller säkerhetsarbete och vilka de tänkbara hoten är mot vår informationssäkerhet. För att upprätthålla en tillräcklig informationssäkerhetskultur för att skydda digitala tillgångar krävs en ständig uppdatering av nyheter och säkerhetshot. Aktuell information och respons är också nödvändig för att behålla relevansen för säkerhetskulturen. Information kan gärna visualiseras för att lättare sprida kunskapen om hotbild och omvärld till hela organisationen. 

Intervjun är gjord av Lars-Ola Lundqvist, Ability Partner

Tobias Ander har lång och gedigen erfarenhet från arbetet med informationssäkerhet i offentlig verksamhet, som CISO på Transportstyrelsen samt CISO på Örebro kommun. Idag jobbar han som IT-säkerhetschef på Försvarsmakten (FMTIS). Tobias arbetar idag aktivt med frågor kring ledning och styrning och informationssäkerhetskultur och genomför utbildningar och föreläsningar utifrån sitt engagemang i företaget Securebyme. Tobias vann år 2017 priset ”Årets GRC-profil” för sitt kunnande och engagemang inom Governance Risk Compliance. Han är främst aktuell med handböckerna ”Informationssäkerhetskultur” och ”Systematisk informationssäkerhet”

Missa inte chansen att delta på årets viktigaste mötesdag för dig som arbetar med informationssäkerhet och säkerhetskultur!

Säkerställ din plats redan idag och gör dig redo för en dag av lärande, inspiration och värdefulla möten. Vi ses på konferensen!