WE 1
GOD SÄKERHETSKULTUR | 1 : 2018 I takt med att vi
digitaliserar och centraliserar våra kontrollmiljöer, så öppnar vi oss också för fler sårbarheter och helt nya angreppsytor. »Just nu stirrar industri och företag sig blinda på effektivisering, utan att egentligen förstå vad digitaliseringen ska tjäna till. Det handlar faktiskt inte bara om att spara pengar, utan med digitaliseringen så förändras även våra processer och hur vi arbetar i grunden. I takt med att processerna optimeras måste vi också förstå vilka nya risker som därigenom skapas. Dataintrång och informella dataläckage kan bli förödande för företagen. De kriminella har redan förstått att här finns stora pengar att tjäna och vi upplever just nu en global ökning av antalet dataintrång och databrott«, säger Anne-Marie Eklund Löwinder, informationssäkerhetschef på Internetstiftelsen i Sverige (IIS). SÄKERHETSMEDVETANDET VARIERAR Komplexiteten är idag så stor att det egentligen är omöjligt att helt skydda sig från alla tänkbara hot. »Men det går att värdera och hantera risker och det är något företagen måste fokusera på«, säger Anne-Marie Eklund-Löwinder. Idag varierar den digitala säkerheten stort ute i industrin. »Men även om det finns ett riskmedvetande, så har vi människor en förmåga att bortse från eventuella hot och att inte alltid göra de långsiktiga konsekvensanalyser som krävs och är nödvändiga. Det kommer att kosta att bli riktigt digital. Det ligger i människans natur att hellre släcka bränder än jobba förebyggande«, säger Anne-Marie Eklund Löwinder. DIGITAL TRYGGHET Själv väljer hon helst att använda begreppet digital trygghet istället för digital säkerhet. »Det är ett talande begrepp som regeringen har lanserat. Digitaliseringen är i sig bra och det är vår strävan på Internetstiftelsen att alla människor ska vilja, våga och kunna använda internet och att de när de gör det också ska känna sig trygga. För att nå dit jobbar vi mycket med folkbildningsinsatser, bland annat via skolan, för att höja den digitala kompetensen.« Digital trygghet är dessutom en förutsättning för en god arbetsmiljö och en säker arbetsplats. »Om arbetsgivarna inte är tydliga mot arbetstagarna om vad de får och inte får göra, så existerar ingen personlig säkerhet och trygghet. Det är lätt för anställda att råka illa ut om de inte känner till att de gör något fel. Därför är det viktigt att skapa en gedigen känsla av digital trygghet i företagen«, säger Anne-Marie Eklund Löwinder. SAMARBETA MED HR De flesta attacker idag bygger inte på teknik, utan på social ingenjörskonst. Genom manipulation luras människor att lämna ut information som de inte borde. Det är något angriparna är experter på och för att hålla jämna steg med dessa måste organisationerna bli lika bra på att förstå hur människor fungerar och varför de gör som de gör. »Beteendevetenskap är en kompetens som fler organisationer borde prioritera och se till att ha i huset. Det är ju ett kontinuerligt arbete och ett behov som inte försvinner, så därför bör ledningarna även involvera HR i detta säkerhetsarbete. De som jobbar där är ofta bra på beteendefrågor. Sedan gäller det att också vara uthållig, kommunicera med medarbetarna och pedagogiskt berätta om risker och varför företaget har vissa regler. Det viktigaste är alltid att skapa medvetna medarbetare, som känner till vad som gäller när det kommer till regler, riktlinjer och beteenden. Det ska vara lätt att göra rätt och svårt att göra fel. Här kan även tekniken hjälpa till. Men teknik är bara ett bra komplement till de regler och riktlinjer som gäller och måste efterlevas och den kommer aldrig i sig att kunna ge ett heltäckande skydd«, säger Anne-Marie Eklund Löwinder och fortsätter: »Det handlar om att skapa en digital säkerhetskultur. Och för detta krävs resurser och tid för information, utbildningar, övningar och för införande av ett systematiskt arbete kring digital säkerhet. Räkna med att det kommer att ta lång tid, men det är ett roligt jobb när det till slut ger resultat.« 31