Så skapar du en starkare säkerhetskultur

Omvärlden blir alltmer osäker och antalet cyberattacker ökar. I värsta fall hotas hela verksamheten. Fler organisationer behöver se informationssäkerhet som en ledningsfråga, anser säkerhetsbolagschefen Charlotte Korssell.

Charlotte Korssell.

Kriget i Ukraina har satt fokus på risken för cyberattacker och andra säkerhetshot. Charlotte Korssell är CEO på it-konsultbolaget Xlent Cyber Security och har lång bakgrund som chef inom säkerhetskritiska verksamheter, bland annat på Försvarets materielverk, FMV. Hon upplever att förståelsen för informationssäkerhet ökar bland chefer och ledningsgrupper – men att det går långsamt.

– Kunskapsläget skiljer sig mycket åt mellan organisationer. En del har kommit ganska långt i sitt förebyggande arbete, medan andra knappt har börjat. Många tänker att det inte finns någon hotbild mot dem, säger Charlotte Korssell.

Hon tror att många chefer tycker att ämnet är svårt, och därför delegerar ansvaret långt ner i organisationen för att inte visa att de inte har tillräcklig kunskap. Men informationssäkerhet är en affärs- och ledningsfråga, menar hon.

– Incidenter och angrepp kan få förödande konsekvenser. Det kan handla om massangrepp som är mer eller mindre slumpartade. Om man hamnar i en situation där ingen kan jobba, där det inte går att ta betalt – då kanske man inte klarar sig så länge. Det finns exempel på företag som inte överlevt.

Informationssäkerhet handlar inte bara om att förbereda sig för cyberattacker, påpekar Charlotte Korssell, utan om att skydda värdefull information generellt. Stöld av företagshemligheter kan till exempel ske genom att personer utifrån tar kontakt med medarbetare. Att ha rätt kompetens i organisationen är därför viktigt, men räcker inte. Ledningen måste signalera att informationssäkerhet är angeläget och visa intresse.

– En av de största riskerna är användarna. Incidenter inträffar inte bara genom medvetna och riktade attacker, utan det är kanske ännu vanligare att de orsakas av misstag av den egna personalen. Det kan i sin tur bero på otydliga eller bristande arbetssätt eller interna regelverk, säger Charlotte Korssell.

Att ta ett samlat grepp om informationssäkerheten ser hon som en form av förändringsledning. Som vid alla stora förändringar behöver chefer ha förmåga att skapa motivation.

– Det krävs engagemang av ledningen. Genom bra kommunikation, så att medarbetarna förstår syftet med rutiner och policyer, är det mycket lättare att få fram ett intresse och en ökad medvetenhet i vardagen. Det handlar om att bygga en säkerhetskultur.

Viktigast är att ha koll på vilken information organisationen vill skydda, enligt Charlotte Korssell.

– Börja på ledningsnivå med en tydlig målbild och plan utifrån vilken information och vilka tillgångar som ska skyddas, och vilka risker och hotbilder som finns. Sätt upp policyer och regelverk, vad medarbetarna får göra och inte. Sedan kan de tekniska lösningarna föras in, när det är klart vad som ska skyddas.

Charlotte Korssell råder chefer att ordna utbildningar kontinuerligt och skicka påminnelser om säkerhetsrutiner.

– Tänk: Enkelt och tydligt, så att det blir lätt för alla att ta åt sig och tänka på det i vardagen. Att arbeta med säkerhet kan ses som en sorts försäkring. Det är grundläggande för att samhället ska fungera och för att det ska finnas en tillit.