Medarbetare är viktiga för att skapa en aktiv säkerhetskultur. Pernilla Rönn berättar, tillsammans med Morgan Lantz, på vilket sätt.

En stark säkerhetskedja börjar med dig och dina kollegor

Hotbilden mot företag och verksamheter ökar konstant. Det är omöjligt att bygga bort säkerhetsriskerna helt men med en medvetenhet kommer man långt. Genom att utbilda sina medarbetare ökar tillfällena att hantera och kontrollera incidenter.

Det första steget, för att höja säkerheten, är att ha stöd hos ledningen. Nästa steg är att identifiera vilka ”guldäggen” är och sedan göra en analys kring hotbilden. Det handlar om att förstå vad verksamheten har för tillgångar, hur den är strukturerad i systemen, hur den hanteras av medarbetarna och hur den bör värderas. Avancerade attacker sker ofta i mellanrummet mellan den fysiska säkerheten och IT-och informationssäkerheten.

– Den centrala frågan är hur vi skyddar tillgångar och kärnvärden i en digital värld där organisationsgränser suddas ut. Det kräver ett nytt sätt att tänka och agera cybersäkert på, där både människan och tekniken är i fokus. Jag tror inte alltid verksamheter tänker på hur viktig människan är och vilken skillnad det gör att skapa en aktiv säkerhetskultur, säger Pernilla Rönn, chef för Cyber Security på Combitech, en enhet som arbetar med kunder inom både näringslivet, offentlig sektor och försvaret.

Vad är då skyddsvärt? I många fall handlar det om varumärke, information, data, hård- och mjukvara och andra viktiga tillgångar i form av patent, utrustning och arbetssätt. Men det kan också röra sig om enskilda medarbetare och deras kunskap.

Vad vill din verksamhet skydda?

Att arbeta med säkerhet kräver långsiktighet. Det är ett ständigt pågående arbete. Likaså behövs en ledning som aktivt stöttar dessa frågor. Det är en utmaning i en värld som förändras och utvecklas.

– Vi som arbetar med säkerhet är medvetna om att det för en del är en stor utmaning att ta tag i dessa frågor, de kan uppleva det som att öppna ”Pandoras ask”. Det får följdeffekter. Vårt svar är att det är värt investeringen för alternativet att inte hantera sin säkerhet kan bli oerhört kostsamt och tidskrävande. Det kan ytterst äventyra hela verksamheten, säger Morgan Lantz, Cyber Security-expert på Combitech.

Att skapa en medvetenhet för att minska säkerhetsincidenterna är central. En hotaktör behöver tre saker för att skada en verksamhet - tillfälle, förmåga och avsikt. Motmedlet stavas kunskap, erfarenhet och reflektion.

– Är vi vaksamma blir utmaningen större för hotaktören. Det kan till exempel handla om en sådan enkel sak som när jag får ett mail med en länk så läser jag av mailet och ställer mig själv några följdfrågor innan jag klickar på länken. Känner jag igen avsändaren, är innehållet relevant för mig, känns ton och uttryckssätt som något jag förväntat mig och så vidare? Om det inte känns bra, att jag då vet vilka försiktighetsåtgärder jag ska vidta och inte klickar på länken. Vidare kontaktar it- eller säkerhetsavdelningen eller följer den process för att rapportera incidenter som verksamheten bestämt, berättar Morgan Lantz och fortsätter;

– Tänk på vilken information du exponerar och för vem. Det är lätt att andra kan se saker som de inte ska ta del av, från dokument som ligger på ditt skrivbord eller syns på skärmar. Detta är viktigt även när du arbetar hemifrån. Om du till exempel har möten bredvid din partner, som också arbetar hemifrån, är det ju lätt att hens mötesdeltagare överhör något.

Begränsa dig till ett möte per rum, lås din dator när du inte sitter vid den och städa undan eventuella jobbdokument när du är klar med dem. Använd bara din arbetsgivares enheter för att jobba, säger Morgan Lantz.

Några tips på vägen:

  • Inventera verksamhetens tillgångar och identifiera ”guldäggen”.
  • Kartlägg hotbilden och potentiella hotaktörer.
  • Inventera informationsflödena och eventuella säkerhetsbrister.
  • Arbeta riskbaserat.
  • Ta hjälp av standarder för informationssäkerhet för att arbeta strukturerat och långsiktigt.
  • Etablera en intern eller extern förmåga att upptäcka och hantera incidenter.
  • Utbilda medarbetare. Det finns till exempel utbildningsfilmer och utbildningar inom Security Awareness som är ett effektivt sätt att träna medarbetare via.

Läs mer

Combitechs erbjudande inom säkerhetsmedvetenhet och utbildning.