Security Dragon

En kultur för säkerhet

Gästförfattare:  Räven


I dag går huvuddelen av alla cyberattacker mot företag via deras medarbetare, som på olika sätt lockas eller luras att hjälpa till. Ändå går huvuddelen av alla säkerhetsbudgetar till teknik. Det är uppenbart att det är dags att vi tittar på helheten.


De flesta har hört talas om eller blivit föremål för awarenesskampanjer med syfte att få människor att genom ökad medvetenhet ändra sitt beteende. Kampanjerna är dock sällan framgångsrika och ett allmänt exempel, som belyser varför, är att i stort sett alla rökare är medvetna om att det är farligt men röker ändå. Inte ens ökad kunskap förändrar beteenden i någon större utsträckning.


För att förklara skillnaden mellan medvetenhet, kunskap och kultur brukar jag använda en cyklist och ett trafikljus. Medvetenhet är då att likna vid att se den korsande trafiken och den röda lampan högst upp på stolpen. Kunskap är att veta att det är förbjudet att köra mot rött, att det finns lagstöd för det och att det kan bli både farligt och dyrt om jag gör ändå det. Kultur kan liknas vid vad jag faktiskt gör där i korsningen och varför. Lönar det sig att cykla mot rött? Är det någon i min omgivning som uppmuntrar mig att stanna (polisen i hörnet, flickvännen på cykeln bredvid eller min son bak i barnsitsen?


Ett exempel på krav på ledningsystem från Strålsäkerhetsmyndigheten:

6 § Ledningssystemet ska stödja och främja en kultur som innebär att frågor som har betydelse för strålsäkerheten får den uppmärksamhet och prioritet som deras betydelse kräver.

Jag tycker det är intressant att huvuddelen av alla trafikanter stannar vid rött om de sitter bakom ratten i en bil, många färre stannar när de cyklar och bland de på sparkcyklar är det nästan undantaget. Vad hände med kulturen när våra lagar anses frivilliga eller att en del anser sig stå över dem? Vad händer när hen på sparkcykeln kommer till jobbet och förväntas följa företagets regler?


Medvetenhet och kunskap är rent intellektuella övningar medan vad gäller säkerhetskultur så är även hjärtat (i form av engagemang och moral) involverat. Kultur är dessutom något som går bortom individen och till gruppen, den är gemensam och vi skapar den tillsammans och raserar den tillsammans. En avgörande del i en kultur är de informella normerna. Eftersom cheferna är de som oftast sätter reglerna, följer upp och ger feedback så har de också bäst förutsättningar att förändra en kultur. Det är viktigt att ledarna uppmuntrar de beteenden som är önskvärda. Eftersom chefen dessutom har mest kontaktytor får man till en bra hävstång i kulturbyggandet genom att låta cheferna leda det.


Ledningens bästa verktyg (förutom uppmuntran) för att styra verksamheten och kulturen är ledningssystemet (samlingen av instruktioner och guidelines). Nyttja dess potential och låt det inte bli ett rundningsmärke (se exempel längst ner).


Ett annat kraftfullt exempel, på vikten av att använda sitt ledningssystem, är att under 2023 fick Swedbank av Finansinspektionen böter på 850 miljoner kronor för att banken inte följde sina egna rutiner för hantering av ändringar i it-system.

En god säkerhetskultur vilar på en handfull grundpelare:

  • försiktighetsprincipen, av två alternativ väljer man t ex alltid det säkraste
  • en ifrågasättande kultur där identifierade risker och säkerhetsförbättringar självklart lyfts
  • en juste kultur där den som ifrågasätter får beröm och inga syndabockar utses
  • man avstyr osäkra beteenden hos andra och tackar den som har modet att säga till
  • en lärande kultur
  • alla kliver fram och tar ägarskap för säkerheten.

Vad särskiljer en god säkerhetskultur från en otillräcklig:

  1. Är säkerhet på allas agendor?
  2. Är säkerheten högt prioritera eller bryts säkerheten ner av en stor produktionspress?
  3. Vågar alla göra sin röst hörd eller har några tystnat?
  4. Tar man in alla/allas perspektiv eller har man ett ensidigt fokus (teknik)?
  5. Finns det ett användbart skriftligt stöd för de mest säkerhetskritiska uppgifterna?
  6. Är man proaktiv och långsiktig eller tas ”inget har hänt oss än” som ett tecken på att inget kommer ske framöver heller?
  7. Är riskförståelsen spridd i företaget eller arbetar man i silos utan helhetssyn?
  8. Har man en öppenhet, ett ifrågasättande eller en skuldbeläggande kultur?
  9. Lär man av sina och andras misstag eller gör man om dem?

 

Förutom att organisationen blir mer motståndskraftig mot hotattacker finns det ytterligare ett antal anledningar att bygga en kultur för säkerhet:

  • Lösningar (både tekniska och i verksamheten) som tas fram blir säkrare
  • Motståndskraften mot desinformation ökar
  • Insiderhotet minskar (risken att någon trillar dit minskar och det blir lättare att identifiera eventuella insiders)
  • Risken för korruption minskar
  • Medarbetarna mår och presterar bättre
  • Det gagnar lönsamheten.

De sistnämnda är inte minst viktiga för alla är värda att må bra på jobbet och - mår vi bra presterar vi bra - och då går det bra för verksamheten.


Security Dragon

The people behind The Security Dragon have combined 25+ years of experience within the security sector.