Hva skal til for å skape en sikkerhetskultur?

90 % av nærmere 5000 fagspesialister innen teknologi svarte nylig på en undersøkelse rundt cyber sikkerhet gjennomført av ISACA og CMMI Institute. De opplever et gap mellom eksisterende virksomhetskultur og sikkerhetskulturen de mener at virksomheten burde ha. Dette går på både bevisstheten i det daglige og ledelsens prioriteringer ifølge rapporten, Cybersecurity Culture Report.

Videre sier rapporten at kun 34 % av respondentene er klar over hvilken rolle de har i å skape en sikkerhetskultur i deres organisasjon. Å skape en sikkerhetskultur krever flere tiltak. Bevisstgjøring og opplæring er viktige elementer her. 

I Glasspaper benytter vi programvaren XtraMile til å lage opplæringsmoduler som distribueres til alle ansatte om ulike temaer. Dette skaper bevissthet for ansatte rundt sikker atferd. I tillegg deltar IT-tekniske stillinger regelmessig på eller selv holder en rekke av kursene Glasspaper har innen sikkerhet. 

Vi benytter programvaren CRMAP levert av Kamude som styringsverktøy for at ledelsen skal få synliggjort sikkerhetstrusler, risiko og avvik enten dette gjelder IT-systemer, rutiner, linjer eller fysiske verdier. I tillegg til ledelsen og sikkerhetsansvarlig kan andre med tilgang til CRMAP få en oversikt og bevissthet rundt sikkerhet for alle deler av selskapet på tvers av forretningsområder og lokasjoner. Innsikten i CRMAP bidrar til at flere nøkkelpersoner i alle lag i organisasjonen bidrar med bevissthet og bygging av en sikkerhetskultur. 
Ledelsen får dermed et godt verktøy for å vurdere risikoer og snarlig allokere ressurser for å håndtere evt. trusler. CRMAP er bygget opp for å håndtere compliance mot en rekke standarder som omhandler sikkerhet og personvern som bl.a ISO27001/2 samt GDPR med flere.  

Sikkerhet hører etter hvert naturlig hjemme på agendaen på enhver samling eller kick-off for å oppfriske kunnskap og bevissthet rundt sikkerhet, samt for å nå ut med informasjon om nye trusler. Sikkerhetskultur er et kontinuerlig langdistanseløp. 

I undersøkelsen svarer kun 5 % at deres virksomhet er godt posisjonert for å håndtere både interne og eksterne trusler. Blant disse respondentene oppgir de fleste at toppledelsen har et stort fokus og forståelse rundt sikkerhet, hvilket indikerer at en sikkerhetskultur vanskelig skapes uten at dette er høyt på agendaen i ledelsen.

Til tross for at det daglig står om angrep og uheldige hendelser i nyhetene oppgir 42 % av respondentene at de ikke har etablert en plan for å skape en sikkerhetskultur. Mens disse virksomhetene i snitt bruker 19 % av budsjettet på opplæring og verktøy så svarer de risikobevisste selskapene (5%) at hele 43 % av deres årlige IT-budsjettet relaterer seg til dette.  

Mange jobber fortsatt med regneark og tilsvarende løsninger for å holde oversikt over risiko. Ledelsen får ofte kun en halvårlig eller årlig rapport angående sikkerhet. Vi ser at kun den sikkerhetsansvarlige i virksomheten er pådriver for sikkerhetsutviklingen. I 2017 kjøpte Glasspaper seg inn i programvarehuset Kamude som leverer styringsverktøyet CRMAP –Compliance, Risk Management & Asset Protection. Dette er et plattform utviklet av sikkerhetsspesialister for å hjelpe virksomheter å enklere kunne etablere et rammeverk for å jobbe godt med sikkerhet og sikkerhetskultur på tvers av selskapet. Vi tror virksomheter som tar i bruk denne plattformen over tid vil bidra til å bygge en sikkerhetskultur som mange bedrifter mangler pr i dag.