Systemperspektiv er ikke nok for å redusere it-risikoen til et akseptabelt nivå. Det må bygges en sikkerhetskultur der virksomheten involverer, lærer, trener og tester medarbeiderne. Først da får man en sikkerhetskultur anno 2021.

I sin kronikk «Sikkerhetskultur fra 1980-tallet bedrer ikke sikkerheten» skriver Gunnar Hauland og Rannveig Hiis-Hauge at sikkerhetskultur ikke er et effektivt tiltak for å forbedre digital sikkerhet. De påstår at opplæring ikke er et egnet tiltak for å bedre sikkerheten og redusere risiko.

Har tar de feil.

I motsetning til de spesialiserte rollene på 1980-tallet, som forfatterne refererer til, angår digital sikkerhet oss alle. Fra snekkeren som bruker mobilen, lastebilsjåføren som sjekker av en leveranse, regnskapsmedarbeideren som fører bilag, selgeren som oppdaterer kundesystemet og til forskeren som gjør en analyse. Ulike yrkesgrupper har ofte ulike verktøy og trenger derfor repeterende sikkerhetsopplæring som tilrettelegges og tilpasses den enkelte ansattes hverdag.

I 2021 er det enkelt og kostnadseffektivt å automatisere slik opplæring.

Sikkerhetsselskapet Verizon publiserte nylig sin årlige sikkerhetsrapport, der det fremkommer at 85 prosent av all sosial manipulering resulterer i at hackere får tak i påloggingsdetaljer. Forskning viser at repeterende opplæring er avgjørende for god digital sikkerhet. Fire måneder etter opplæring har den ansatte i stor grad mistet sin evne til å gjenkjenne skadelige eposter, og etter seks måneder er denne kunnskapen helt borte.

Vår egen forskning viser en direkte sammenheng mellom en virksomhets sikkerhetskultur og de ansattes risikoadferd. Virksomheter med dårlig sikkerhetskultur deler påloggingsdetaljer 52 ganger så ofte som virksomheter med god sikkerhetskultur.

Digital sikkerhetskultur i 2021 forutsetter riktig, relevant og repeterende opplæring av alle ansatte – også ledere.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.