Sådan bygger du en cybersikkerhedskultur

Det betyder, at cybersikkerhed skal forankres bredere end i IT-afdelingen, og at en stærk cybersikkerhedskultur kræver mere end tekniske kontroller. Den kræver en organisation, hvor ansvar, risici og forventninger er tydelige på tværs af ledelse, funktioner og medarbejdere.

Udfordringen er at omsætte de gode intentioner til handling.

Compliance er ikke det samme som kultur

Mange organisationer har investeret betydelige ressourcer i politikker, procedurer, risikovurderinger og kontroller. De kan dokumentere deres arbejde, fremvise rapporter og demonstrere compliance over for både kunder, revisorer og myndigheder.

Det er en vigtig forudsætning for et modent cybersikkerhedsarbejde, men dokumentation i sig selv skaber ikke en cybersikkerhedskultur. Compliance viser, at organisationen har etableret de nødvendige rammer; kultur viser, om de faktisk bliver efterlevet i praksis. Som når ledere inddrager risici i deres prioriteringer. Når systemejere løbende vurderer konsekvenserne af ændringer. Og når medarbejdere forstår, hvordan deres handlinger påvirker organisationens samlede sikkerhed.

Vejen dertil kræver mere end awareness-kampagner og enkeltstående initiativer. Den kræver klare rammer, tydeligt ansvar, aktiv forankring hos ledelsen og processer, der gør cybersikkerhed til en integreret del af hverdagen.

Nedenfor gennemgår vi syv konkrete trin, der kan hjælpe med at opbygge en cybersikkerhedskultur, som rækker ud over compliance og bliver en del af organisationens daglige drift.

LÆS OGSÅ: Governance vs. compliance: Hvordan spiller de sammen?

1) Gør cybersikkerhed til en ledelsesdisciplin

Hvis cybersikkerhed primært behandles som et teknisk anliggende, bliver det også sådan, resten af organisationen opfatter det. Derfor skal cybersikkerhed forankres som en del af organisationens samlede governance.

Det betyder, at ledelsen bør:

• have indsigt i de væsentligste cyber- og informationssikkerhedsrisici

• behandle cybersikkerhed på linje med økonomi, drift, kvalitet og compliance

• modtage løbende rapportering på risici, kontroller, hændelser og leverandører

• diskutere risici og prioriteringer på ledelsesniveau

Når cybersikkerhed bliver en fast del af ledelsesdialogen, sender det et tydeligt signal til resten af organisationen: Sikkerhed er en forudsætning for, at driften kan fungere.

2) Gør sikkerhed til den enkeltes ansvar

Ejerskab kræver, at sikkerhed kobles til de opgaver og beslutninger, medarbejdere og ledere allerede har ansvar for. Derfor skal ansvar placeres der, hvor risikoen opstår og håndteres i praksis.

Det skal være tydeligt, hvem der:

• ejer de enkelte risici

• træffer beslutninger om risikohåndtering

• har ansvar for systemer, data og processer

• følger op på kontroller og forbedringstiltag

• håndterer leverandør- og tredjepartsrisici

Når ansvaret er uklart, bliver sikkerhed let noget, der sendes videre eller overlades til tilfældighederne. Systemændringer bliver gennemført uden vurdering af adgangsrettigheder, identificerede risici bliver stående uden opfølgning og leverandører bliver taget i brug uden klare sikkerhedskrav.

Når sikkerhed bliver en naturlig del af det ansvar, man allerede har, bliver det lettere at skabe ejerskab – og dermed kultur.

3) Oversæt sikkerhed til et forståeligt sprog

Cybersikkerhed bliver mere relevant, hvis den kobles til den virkelighed, medarbejdere og ledere arbejder i. Tekniske begreber, kontrolkrav og trusselsbilleder har deres plads, men kultur skabes lettere, hvis det oversættes til konkrete konsekvenser:

• Hvad betyder det for driften, hvis et system er utilgængeligt?

• Hvad betyder det for kunden eller borgeren, hvis data bliver eksponeret?

• Hvad betyder det for produktionen, hvis en leverandør svigter?

• Hvad betyder det for organisationens tillid, hvis hændelser ikke bliver håndteret korrekt?

Når cybersikkerhed forklares gennem drift, kvalitet, service, tillid og ansvar, bliver det lettere for medarbejderne at forstå, hvorfor arbejdet er vigtigt. Det gør sikkerhed mere konkret og langt lettere at handle på.

4) Gør sikkerhed til en del af arbejdet

Kultur opstår gennem gentagelse, og ofte er gentagelse først muligt, når opgaver kobles til konkrete beslutningspunkter. Derfor bør organisationen identificere de situationer, hvor sikkerhed altid skal vurderes, før arbejdet fortsætter.

Det gælder især ved:

• Nye projekter: Hvilke data, systemer og leverandører bliver berørt?

• Indkøb: Hvilke sikkerhedskrav skal leverandøren leve op til?

• Systemændringer: Påvirker ændringen adgange, logning, integrationer eller databehandling?

• Nye integrationer: Hvilke data deles, og hvem får adgang?

• Organisatoriske ændringer: Skal roller, rettigheder eller ansvar opdateres?

Pointen er at gøre sikkerhed til et fast stop i de arbejdsgange, hvor risikoen opstår. Ikke som en tung godkendelsesproces, men som en praktisk kontrol: Har vi vurderet konsekvensen, før vi går videre?

5) Gør risici og fremskridt synlige

Det er svært at skabe engagement omkring noget, der er usynligt. Hvis risici, hændelser og forbedringstiltag kun eksisterer i dokumenter eller hos få specialister, bliver cybersikkerhed let opfattet som et område, der ligger uden for den daglige drift.

Derfor bør organisationen skabe synlighed omkring både risici og fremskridt. Det kan blandt andet ske gennem:

• rapportering til ledelsen

• dashboards med status på risici og kontroller

• KPI'er og målepunkter for sikkerhedsarbejdet

• modenhedsmålinger der viser udviklingen over tid

• opfølgning på hændelser, revisioner og forbedringstiltag

Start med få målepunkter, der kan bruges aktivt i styringen. Det kan for eksempel være åbne risici, forsinkede kontroller, gennemførte leverandørvurderinger, rapporterede hændelser, udestående forbedringstiltag og status på kritiske systemer.

Målet er at skabe et fælles billede af, hvor organisationen er stærk, og hvor den er sårbar. Rapporteringen skal derfor ikke kun vise status, men også gøre det tydeligt, hvor der skal træffes beslutninger:

• Hvilke risici accepteres?

• Hvilke risici skal reduceres?

• Hvilke tiltag mangler ressourcer?

• Hvor er der behov for ledelsesmæssig prioritering?

Når risici og resultater bliver synlige, bliver det lettere for både ledere og medarbejdere at forstå deres rolle i arbejdet og se værdien af de indsatser, der gennemføres. Det styrker ejerskab, prioritering og fremdrift.

6) Sæt fokus på læring

En stærk cybersikkerhedskultur kræver, at medarbejdere tør reagere tidligt – også når de selv har klikket på et forkert link, sendt information til den forkerte modtager eller overset en intern procedure. Hvis fejl bliver mødt med skyld eller sanktioner, vil mange tøve med at sige noget. Og jo længere tid der går, desto større kan konsekvensen blive.

Derfor bør organisationen skabe en kultur, hvor det er trygt at henvende sig, når noget er gået galt, eller når noget virker mistænkeligt.

Organisationen bør blandt andet sikre, at:

• det er tydeligt, hvordan hændelser og mistanker rapporteres

• medarbejdere ved, at tidlig rapportering hjælper organisationen

• rapportering bruges til læring og forbedring

• hændelser analyseres på proces- og risikoniveau

• opfølgning fokuserer på årsager, kontroller og forebyggelse

I en moden cybersikkerhedskultur er rapportering ikke et tegn på fiasko. Det er et tegn på, at medarbejdere er opmærksomme, engagerede og trygge ved at reagere.

7) Arbejd systematisk med forbedringskulturen

En cybersikkerhedskultur bliver ikke skabt gennem et enkelt projekt, en årlig kampagne eller en ny politik. Den bliver udviklet gennem en systematisk forbedringskultur, hvor organisationen løbende bruger erfaringer, målinger og hændelser til at styrke arbejdet.

Det betyder, at organisationen bør:

• bruge hændelser, audits og kontroller som input til forbedringer

• følge op på, om besluttede tiltag faktisk bliver gennemført

• justere processer, når de viser sig at være uklare eller svære at efterleve

• gentage centrale budskaber, så de fastholdes over tid

• sikre, at ledelsen løbende prioriterer og efterspørger fremdrift

Det kan gøres helt konkret ved at arbejde med korte forbedringsloops: Hvad har vi observeret? Hvad skal ændres? Hvem ejer opgaven? Hvornår følger vi op? Og hvordan kan vi se, om ændringen virker?

På den måde bliver forbedringsarbejdet ikke en løs ambition, men en fast del af organisationens styring. En phishingøvelse kan føre til justeret kommunikation, en auditbemærkning kan føre til en ændret proces og en hændelse kan føre til bedre adgangsstyring, tydeligere roller eller en ny kontrol.

Cybersikkerhedskultur skabes i hverdagen

De syv trin giver en struktur for arbejdet, men cybersikkerhedskultur kan ikke implementeres fra et skrivebord. Den skal forankres i de situationer, hvor medarbejdere og ledere træffer beslutninger, håndterer data, bruger systemer og reagerer på usikkerhed.

Derfor spiller dialog en afgørende rolle. Workshops, korte møder, konkrete eksempler og uformelle samtaler kan være mindst lige så vigtige som politikker og rapporter. Det er her, sikkerhed bliver koblet til medarbejdernes virkelighed, og her organisationen får øje på de barrierer, der kan gøre krav svære at efterleve i praksis.

Og det behøver ikke være stort eller kompliceret. Det kan være korte sikkerhedspunkter på teammøder, små cases fra hverdagen, gennemgang af en konkret phishingmail, dialog om typiske fejl i en afdeling eller fem minutter om, hvad man gør, hvis man har sendt noget forkert.

Det afgørende er, at sikkerhed bliver konkret, gentaget og let at tale om, og at organisationen handler, når dialogen viser, at processer, roller eller kontroller ikke fungerer i praksis. Når medarbejdere bliver taget alvorligt, bliver det også lettere at forstå, hvornår de skal reagere, hvem de skal gå til og hvorfor deres handlinger betyder noget.

På den måde bliver cybersikkerhedskultur ikke kun et spørgsmål om awareness. Det bliver et løbende samspil mellem mennesker, processer og ledelsesmæssig opfølgning.