Säkerhetskultur handlar om vad människor gör när ingen tittar

Hanteringen av information inom en organisation måste bygga på vissa regler för att hålla en acceptabel standard. Dessa regler och kopplingen till hur de efterlevs är en del av organisationens kultur generellt och dess säkerhetskultur specifikt.

Begreppet säkerhetskultur handlar mycket om förståelse och kan beskrivas som en form av risk- och säkerhetsmedvetenhet som finns med i det dagliga arbetet. För att uppnå en god säkerhetskultur behövs ett arbetsklimat där man kan ifrågasätta, komma med förslag till förbättringar och samtidigt vara lyhörd.

Fem viktiga hörnstenar för att uppnå en god informationssäkerhetskultur är:

Lärande – vilja och förmåga att lära sig om säkerhet genom erfarenhet.

Rapporterande – incidenter och avvikelser rapporteras på ett korrekt sätt.

Rättvisa – en rättvis verksamhet som inte straffar misstag. Dvs en kultur som inte bygger på ”name, blame, shame”.

Flexibilitet – respekt för kunskap hos medarbetare oavsett dennes roll i organisationen.

Kommunikation – fungerande rutiner och kanaler för spridning av information och kunskap.

Innan man kan påbörja arbetet med att förbättra en organisations säkerhetskultur så måste den befintliga kulturen analyseras och bedömas så att ett nuläge etableras. Man kan göra detta genom enkäter som skickas ut till samtliga medarbetare, alternativt ett representativt urval från organisationens samtliga funktioner och delar. Enkäten följs sedan upp med mer djupgående intervjuer som då genomförs med ett urval av medarbetarna.

Det finns flera olika erkända ramverk och verktyg för att mäta och definiera säkerhetskulturen inom en organisation och det är här viktigt att man väljer ett som tar hänsyn till hur mycket man har arbetat med risk och säkerhet tidigare. Det gäller att vare sig skjuta för högt eller för lågt i frågeställningarna.

Exempel på påståenden och frågeställningar som kan ingå i enkät och intervju:

Påståenden där en Likert-skala används i svaren (exempelvis ”helt överens", "håller med", "neutral", "håller inte med" och "håller inte alls med" som i nästa steg översätts till numeriska svar för att kunna viktas in i slutresultatet):

• Organisationen skyddar sina informationstillgångar tillräckligt (till exempel system och information)
• Det är viktigt att förstå hoten mot informationstillgångarna (till exempel system och information) på min avdelning
• Hot mot säkerheten för informationstillgångar (till exempel information och system) kontrolleras tillräckligt på min avdelning
• Det är viktigt med Informationssäkerhet på min avdelning
• Informationstillgångarna (till exempel system och information) jag arbetar med behöver säkras, såväl fysiskt som elektroniskt
• Jag tror att min affärsenhet kommer att överleva om det inträffar en incident som leder till förlust av system och/eller lokaler
• Jag känner mig trygg i den miljö jag arbetar i
• Jag tror att den information som jag arbetar med är tillräckligt skyddad

Andra frågeställningar fokuserar mer på medarbetarens kunskaper och medvetenhet i informationssäkerhet och här kan svaren istället vara Ja/Nej/Vet ej.

• Organisationen har en skriftlig informationssäkerhetspolicy
• Jag vet var jag hittar informationssäkerhetspolicyn
• Jag har läst och förstått informationssäkerhetspolicyn
• Jag förstår vad informationssäkerhet är
• Jag vet vad en informationssäkerhetsincident är
• Jag vet hur jag anmäler en IT-/informationssäkerhetsincident
• Jag vet vad jag har för eget ansvar när det gäller informationssäkerhet
• När jag lämnar min dator låser jag alltid skärmen

Resultatet från såväl enkäter som intervjuer sammanställs i en rapport för att presenteras för olika typer av intressenter i verksamheten, där ledningen står först på tur.

Rapporten bör beskriva resultatet både kvalitativt och kvantitativt och inte minst visuellt för att nå fram på bästa sätt.

Nedanstående bild exemplifierar ett resultat från en genomförd undersökning och visar klart och tydligt var verksamheten har sina starkare och mindre starka sidor när det gäller den interna informationssäkerhetskulturen. 

Bakom varje delområde i diagrammet döljer sig ett antal frågeställningar och påståenden som på olika sätt belyser rådande säkerhetskultur. Svaren har vägts ihop och givits viktade poäng mellan 1 och 5 där 5 är ”bäst” och 1 är ”sämst”’. Vad de olika nivåerna representerar bestäms av den enskilda verksamheten.

Det viktiga är att undersökningen upprepas med en given periodicitet så att verksamheten kan se riktningen på utvecklingen inom de olika områdena och att åtgärder, där så krävs, kan sättas in för att lyfta resultatet.

Att mäta - ingen exakt och enkel vetenskap

Att mäta informationssäkerhetskulturen inom en organisation är ingen exakt och enkel vetenskap och det är viktigt att förstå att diagrammet ovan bara visar en dimension av detta. Tillsammans med genomförda intervjuer så kan verksamheten dock får en bra bild av var insatser i första hand bör sättas in för att förbättra rådande säkerhetskultur. Att förändra en kultur inom en verksamhet är inget som sker över en natt så det handlar om ett långsiktigt arbete som måste finnas med som en komponent i det systematiska informationssäkerhetsarbetet.