Alle virksomheder har en sikkerhedskultur

Lad os være helt ærlige: du kan aldrig blive 100% sikker. Sikkerhed er, som mange andre ting i en virksomhed, noget der skal udvikles og en proces, der skal styres. Hvis din virksomhed tror, at et enkelt kursus i GDPR og IT-sikkerhed er lig med sikkerhed, så har man allerede fejlet. Sikkerhed bliver i stedet noget, der skal krydses af, en compliance øvelse, så vi kan komme tilbage til arbejdet. Det betyder i sidste ende, at du har lært dine medarbejdere, at så længe de krydser de rigtige bokse af, så er virksomheden tilfreds - det giver ikke mere sikkerhed. I stedet for at se sikkerhed som en hurtig tjekliste, så lad os snakke om, hvordan vi skaber en sikkerhedskultur.


Hvad er en sikkerhedskultur?

Sikkerhedskultur er din virksomheds normer, holdninger og praksisser, der gør det muligt for jer at tilpasse og udvikle virksomheden til at modstå de trusler og sårbarheder, som i kan blive udsat for.


Lad os dykke lidt ned i, hvad der udgør en god sikkerhedskultur.

En god sikkerhedskultur omfatter tre ting:

  • Governernance (din ledelse og struktur)

  • Teknologi (dine tekniske løsninger og procedurer)

  • Mennesker (dine medarbejdere)

Hvis ikke, at du har fokus på at udvikle disse tre ting, så er der en stor sandsynlighed for, at dine sikkerhedstiltag (og dermed sikkerhedskultur) fejler. Lad os dykke lidt mere ned i de tre emner.





Mange virksomheder har i dag godt styr på de tekniske løsninger. Microsoft, Apple, VMware og mange andre firmaer leverer gode og sikre løsninger, der blot skal holdes opdaterede uden avancerede sikkerhedsløsninger.


Flere virksomheder er fået øjnene op for, at det er vigtigt med strukturer og politikker, der kan vedligeholde sikkerheden (governance). Dette er blandt andet hjulpet godt afsted af blandt andet GDPR og mediernes fokus på de mange hackerangreb vi hører om næsten dagligt. Forsikringsselskaber er ligeledes begyndt at sætte krav om awareness-træning for medarbejdere og flere standarder, som ISO270001 og D-mærket bliver også implementeret i de danske virksomheder.


Men virksomheder har fokus på den menneskelige del af sikkerheden. Det er ærgerligt, for mennesker er bindeledet på alle vores processer. En rapport fra Verizon (2021) viser, at udgifter til træning af medarbejdere udgør 3% af de samlede sikkerhedsudgifter i virksomhederne. Det er både bekymrende og tankevækkende, når mere end 85% af alle cyberangreb kan spores tilbage til mennesker!




Hvordan skaber vi en god sikkerhedskultur?

Hvordan skaber man så den gode balance mellem governance, teknologi og mennesker? Først skal vi anerkende, at menesker er centrale for virksomhedens sikkerhed. Lad os kort gennemgå, hvad mennesker betyder for vores virksomhed:

  • Det er mennesker, der skal styre computeren og udvikle vores produkter

  • Det er mennesker, der køber teknologien

  • Det er mennesker, der godkender økonomiske transaktioner

  • Det er mennesker, der har kontakten med vores kunder

  • Det er mennesker, der står for at patche, opdatere og holde dine computere og servere ved lige.

  • Det er mennesker, der skaber adfærd, ændringer og kultur

Denne anerkendelse kan få os langt. Når vi begynder at prioritere vores medarbejdere på lige fod med governance og teknologi, så har vi mulighed for at skabe en god sikkerhedskultur. Det kræver tid at få alle med og man kan med fordel planlægge en strategi med fokus på ABC - Awareness, Behavior, Culture (på dansk kalder vi oversætte det til budskab, adfærd og kultur, men ABC lyder nu engang federe end OAK). Du kan overveje følgende:

  • Skab klare budskaber (awareness) om de ændringer og systemer du har og ønsker et fokus på.

  • Sørg for at alle er med. Alle fra ledelsen til receptionisten skal forstå vigtigheden af dit budskab, så det kan praktiseres. Du ændrer altså jeres adfærd (behavior).

  • Evaluer og se, hvordan dine budskaber bliver en del af jeres hverdag og få feedback fra medarbejdere og ledere. Det er her du ved, at der er tale om en forandring, der faktisk implementerer sig som en kultur (culture).

Forandringer sker ikke på en dag. Det tager tid og strategisk fokus. Husk, at sikkerhed er ikke et mål, men en proces, som vi alle er en del af. Vi lover dig, at når du først har set, at dine budskaber danner grundlag for ny adfærd og senere bliver en del af jeres fælles forståelse og kultur, så har din investering i sikkerhedskultur givet pote.