Sikkerhedskultur og Security Awareness – Fra strategi til adfærd

Mange virksomheder og organisationers IT og ledelseslag, drager antagelser omkring medarbejderes rutiner, anvendelser af systemer, vidensniveau og behov for dialog og hjælp. Men meget ofte er der fejlantagelser og de kan koste meget dyrt.

Er jeres cybersikkerheds-strategi forankret i ledelseslaget? Har I haft en tværgående dialog i de forskellige forretningsenheder og har I talt med system og processejere omkring hvordan man i virkeligheden arbejder? Er der skyggeadfærd- er der skygge IT? og ved alle hvad der forventes af dem, hvis virksomheden udsættes for hybride angreb som kan stoppe drift, give dårligt omdømme, resultere i tillidstab og ikke mindst økonomiske tab?

Ved dialog og indragelse kommer man hurtigere og længere i arbejdet med en modstandsdygtig og kulturstærk organisation. Lyt, lær af hinanden og tilpas løbende tilgangen til kommunikation og formidling.

Strategisk retning som fundament for sikkerhed

En stærk sikkerhedskultur skal forankres i virksomhedens ledelse og kan ikke som ofte forkert antaget,- alene etableres gennem kontrol, regler og IT politikker.

Som det første skal det sikres at ledelsen forstår trusselsbilledet og diverse risici for forretningen. Derved skal risiko for nedbrud, tab af data og omdømme, men også bøder -forklares behørigt og ikke mindst også potentielle menneskelige og økonomiske omkostninger. På den baggrund kan ledende forretnings funktioner sammen etablere en tydelig strategisk retning og fælles værdier. Ledelsen skal være klar i sin formidling og gå sammen og enes om prioriteter.

Organisationer, der lykkes med at integrere sikkerhed i deres kultur, arbejder hovedsagelig aktivt med:

 

  • Strategiske mål: Både kortsigtede og langsigtede pejlemærker, der også inkluderer sikkerhed som en integreret del af forretningsstrategien.
  • Mission: Et klart formål, der viser hvorfor sikkerhed er vigtigt for organisationens eksistens.
  • Vision: En ambition om at være en organisation, hvor sikkerhed er en naturlig del af hverdagen.
  • Værdier: Den ønskede adfærd, der fremmer ansvarlighed, åbenhed og samarbejde omkring sikkerhed og en sikker kultur..

Alt efter miljøer, kan ledelsen når der er enige om retningen så vidt muligt give medarbejderne frihed til at handle inden for nogle afsatte klare rammer for cybersecurity, pivacy, adfærd, systemer og processer. Det skaber engagement og ejerskab, som er afgørende for en levende sikkerhedskultur.

Test og aktivering af sikkerhedsværdier

Strategiske guidelines skal ikke blot eksistere på papiret,- de skal leve i organisationen. Derfor anbefales følgende øvelse:

 

  1. Undersøg og etabler fakta: Er jeres sikkerhedsværdier og -mål meningsfulde og styrende? Spørg i de forskellige forretningsområder.

 

  1. Undersøg kvaliteten jævnligt: Er jeres sikkerhedsværdier og -mål stadig relevante i nutidens risikobillede?
  2. Få dem til at leve: Brug sikkerhedsværdier og -mål aktivt i adfærd, beslutninger og kommunikation. Tag det med som mødepunkt på agendaen hver gang der foretages ændringer i leverandører,produkter, væsentlige konfiguration, process eller systemændringer, men også ved onboarding af nye medarbejdere eller ved omskoling af medarbejdere.

Ledelsesfilosofi som løftestang for sikkerhed

Ledelse spiller en afgørende rolle i at forme og fastholde en sikkerhedskultur. En fælles ledelsesfilosofi skaber tryghed og sammenhæng, og bør afspejle organisationens menneskesyn. Man kan arbejde med en fordeling eller vægt af den ene af disse to tilgange

 

  • Indre styret tilgang: Ledere involverer medarbejdere og skaber ejerskab omkring sikkerhed.
  • Ydre styret tilgang: Fokus på kontrol, KPI’er og belønning/straf.

Organisationen skal definere, hvad god sikkerhedsledelse er ,-og sikre, at det afspejles i praksis og adopteres positivt i organisationen. Hvis ikke alle kan forstå eller tilslutte sig retningslinjerne, bliver de nemt det svageste led i virksomhedens forsvar.

 

  • Ledere skal gå forrest og vise, at sikkerhed er en prioritet.
  • En involverende ledelsesstil fremmer tillid og åbenhed om risici.
  • Organisatorisk skal det anerkendes at sikkerhed skal være en del af lederens kerneopgave,- ikke en ekstra opgave.

Operating Model og Enablement som strukturelt fundament

En Leadership Operating Model er en fælles ramme for, hvordan organisationen arbejder med ledelse og kultur,-herunder sikkerhed. Den indeholder:

 

  • En fælles tilgang til ledelse og samarbejde
  • Standarder for god sikkerhedsledelse
  • Retningslinjer for onboarding og brug af IT-systemer
  • En struktur, der gør det nemt at udøve den ønskede sikkerhedsadfærd

Leadership Enablement handler om at fjerne barrierer og give ledere de rette ressourcer, så de kan fokusere på at lede,- også når det gælder sikkerhed.På sammen måde som at man skal tænke Enablement ind for menige medarbejdere.

 

  1. Skab en fælles ledelsesramme for sikkerhed Integrér sikkerhed i jeres Operating Model. Beskriv, hvordan ledere skal fremme sikkerhedsadfærd og risikohåndtering.
  2. Gør det nemt for ledere at prioritere sikkerhed Sørg for adgang til relevante værktøjer og data. Fjern organisatoriske forhindringer, der gør det svært at handle på sikkerhed.
  3. Onboarding med sikkerhed i fokus Introducér nye medarbejdere til sikkerhedskultur og forventet adfærd fra dag ét, men husk også at følge op jævnligt overfor samtlige medarbejdere.
  4. Sæt standarder for sikkerhedsledelse Fx: “Ledere skal skabe psykologisk tryghed for at rapportere hændelser.”

Udvikling af lederkompetencer med fokus på sikkerhed

Effektiv sikkerhedsledelse kræver mere end klassiske lederfærdigheder. Ledere skal kunne:

 

  • Lede sig selv: Reflektere over egen rolle i sikkerhedskulturen.
  • Lede mennesker tæt på: Forstå teamets behov og skabe dialog om risici.
  • Lede organisationen: Skabe struktur og fællesskab omkring sikkerhed.

5 trin til udvikling:

 

  1. Analyse af udgangspunktet
  2. Definér mål ,-resultat- og adfærdsmål, men vær opmærksom på at sikkerhedskultur ikke er et mål, men et kontinuerligt hjul.
  3. Planlæg "udviklingsrejsen"
  4. Design værktøjer og metoder
  5. Sørg for forankring i hverdagen

Challenge Based Learning – læring gennem virkelige sikkerhedsudfordringer

I stedet for klassisk ledertræning, bør organisationer arbejde med Challenge Based Learning, hvor ledere udvikler sig gennem reelle udfordringer. Øv jeres organisatoriske parathed, men også jeres beredskab på tværs i hele virksomheden- kan I samarbejde og kender alle deres roller og virksomhedens prioritetsrækkefølge.

Enhver leder bør stille sig selv spørgsmål som f.eks. Er der åbenhed, så medarbejdere der begår fejl, ikke kvier sig ved at indrapportere det, eller hvis nogen har afvigende adfærd, som potentielt kan være industrispionage, vil kolleger i givet fald kunne kende det og indrapportere det? Er medarbejderne i stand til at opdage Deepfake og voicecloning- ved de hvad de skal se efter? Udviklingen af sikkerhedskulturen sker gennem refleksion, handling og opfølgning.

Fordele:

 

  • Relevans: Læring er direkte koblet til daglige sikkerhedsopgaver.
  • Overførbart: Nye færdigheder implementeres med det samme.
  • Engagement: Personligt relevante udfordringer øger motivationen.

Sammenhæng mellem strategi, struktur og sikkerhedskultur

For at lykkes med Security Awareness og sikkerhedskultur skal der være sammenhæng mellem:

 

  • Strategisk retning
  • Struktur og processer
  • Ledelsesadfærd
  • Kompetenceudvikling

Ved at integrere disse elementer skabes en organisation, hvor sikkerhed ikke blot er et krav ,- men en fælles værdi og en naturlig del af hverdagen.

Konkrete anbefalinger

 

  1. Skab mening og ejerskab Brug mission og værdier til at vise, hvorfor sikkerhed er vigtig.
  2. Retning frem for kontrol Giv medarbejdere frihed til at handle sikkert,- ikke kun følge regler og motiver og faciliter hjælpsomhed og support.
  3. Involvering og dialog Inkludér medarbejdere i udvikling af sikkerhedsinitiativer. Så det integreres bedst muligt i deres daglige opgaver. Det skaber mere solid deltagelse, loyaitet og ansvarsfølelse.
  4. Skab værdi for medarbejdere Giv medarbejderne sikkerhedsråd- og -informationer af værdi for deres privatliv. Med den tilgang skaber man et bedre værn både om medarbejdere og deres familier, men også for organisationen. -De svageste led styrkes.
  5. Ledelse som kulturbærer Træn ledere i at fremme sikkerhedsadfærd og skabe tryghed.
  6. Kulturtest og justering Test jævnligt om jeres sikkerhedsværdier er relevante,- og justér dem. (Der kan være nye systemer, processer eller trusselsvilkår).

Ved at koble strategiske guidelines, ledelsesfilosofi, strukturelle modeller og kompetenceudvikling til sikkerhedsarbejdet, kan organisationen skabe en robust og engageret sikkerhedskultur,- hvor alle tager ansvar, og hvor sikkerhed bliver en integreret del af den daglige drift.

#cybersecurity #StaySafe #Privacy #Beredskab #RisikobaseretSikkerhed,#Kriseøvelser

Author Mette Nikander
Yderligere læsning (links)

Sikkerhedskultur og Security Awareness – Fra strategi til adfærd

Mette Nikander - Copenhagen, Capital Region of Denmark, Denmark | Professional Profile | LinkedIn

Rating

Unrated
You do not have permission to rate
An error has occurred

An error has occurred

Unfortunately a query has failed [SELECT display_review_status,last_reviewed_time,next_review_time FROM crpw_content_reviews WHERE (content_type='news' AND content_id='22') LIMIT 1] [Table 'smarkend_ocpo536.crpw_content_reviews' doesn't exist] (version: 10.0.52, PHP version: 8.4.19, URL: /index.php?id=sikkerhed%2Fsikkerhedskultur-og&page=news&type=view)

The staff have been provided a ‘stack trace’ which may help them diagnose the problem.