Her spiller bestyrelser en vigtig rolle. Som denne rapport fra PwC forklarer, skal bestyrelserne give overblik over dette problem, stille de rette spørgsmål til ledelsesteams og mindske risikoen for et sammenbrud i den kultur, der binder arbejdsstyrken sammen.
Det, der også er blevet klart i løbet af det sidste års tid, er, at ethvert arbejde, som bestyrelsen udfører i forbindelse med kulturændringer, skal omfatte holdninger til sikkerhed.
Dette er af to hovedårsager:
1. Trusselsniveauet i forbindelse med hybridarbejde er alvorligt
Der er ingen tvivl om, at hybridarbejde udsætter organisationer for en øget risiko for sikkerhedsbrud. Forekomsten af ransomwareangreb på virksomhedsnetværk var steget med 72 %alene i første halvdel af 2020. Cyberkriminelle udnytter også hybridarbejde ved at øge e-mailbaserede angreb, gå målrettet efter offentligt eksponerede systemer og udnytte sårbarheder forbundet med ældre fejlbehæftede enheder.
2. Medarbejderne mangler viden og føler sig ikke involveret i problemet
En af de største årsager til, at angrebene stiger, er manglende viden hos medarbejderne om truslens alvor. En nylig undersøgelse viste, at mere end to tredjedele af medarbejderne ikke tager højde for konsekvenserne for cybersikkerheden af at arbejde hjemmefra. Der er også eksempler på modstand hos medarbejdere mod sikkerhedspolitikker for hjemmearbejde. Ifølge research fra HP Wolf Security oplevede 80 % af it-teams utilfredshed blandt brugere i 2021, der ikke bryder sig om, at der bliver udøvet kontrol over dem derhjemme. Undersøgelsen fandt også, at over halvdelen af de yngre medarbejdere var mere optagede af at overholde deadlines end bekymringen for databrud, og 39 % var usikre på, hvad deres sikkerhedspolitikker er. Som følge heraf mener 83 % af it-teams, at det er ved at blive ‘umuligt’ at håndhæve virksomhedspolitikker omkring cybersikkerhed i en hybrid arbejdsstruktur.
På vej mod en ny tilgang til sikkerhed
For at tage hånd om disse problemer skal bestyrelserne arbejde sammen med ledelsesteams for at skabe en ny form for cybersikkerhedsbevidst kultur, der er skræddersyet til hybrid-arbejde – en, hvor folk får en følelse af kollektivt ansvar, anerkender indvirkningen af fejl og føler sig værdsat for den rolle, de spiller.
For at opnå dette anbefaler vi, at der sker mindst fire vigtige ting:
1. Inddrag medarbejderne i at definere jeres nye kultur
Den bedste måde at starte på er ved at indlede en vurdering af medarbejdernes opfattelse af nye sikkerhedsproblemer. Det vil bidrage til at etablere en tovejsdialog og give afgørende indsigt i de problemer og udfordringer, medarbejderne står over for i forbindelse med hjemmearbejde – især fordi de forsøger at balancere produktivitet og privatliv med behovet for at holde data og systemer sikre. Det vil også give værdifulde oplysninger om, hvor godt de forstår truslen relateret til hybridarbejde, risici i forbindelse med de enheder, de bruger (herunder enheder såsom smarte højttalere), og hvad deres ansvar er.
2. Arbejd for at skabe et tillidsfuldt klima
I øjeblikket er de fleste medarbejdere tilbageholdende med at indberette en sikkerhedstrussel af frygt for repressalier. Det er uholdbart og vil sandsynligvis føre til, at flere overtrædelser ikke bliver opdaget. Det kan også resultere i, at man ikke lærer af fejl, der forhindrer løbende forbedring af sikkerhedsstyringsprocesser. For at løse dette problem bør bestyrelserne også påtage sig ansvaret for at etablere en mere åben dialog mellem medarbejdere og ledere: tilskynde til gennemsigtighed, anerkende ansvarlig rapportering og fremme en mere positiv cybersikkerhedsbevidst kultur.
3. Etabler nye cybersikkerhedspolitikker for hybridarbejde
Ud fra resultaterne af vurderinger og anmeldelser bør bestyrelserne også presse på for at få indført nye eller reviderede politikker for cybersikkerhed. Disse bør være skræddersyet specifikt til, hvordan medarbejderne ændrer måden, de arbejder på. De bør også fokusere på at oprette nye KPI’er, der lader alle medarbejdere være i tvivl om, hvor de står.
4. Understøt politikker med træning
Det nytter ikke meget at implementere nye politikker uden at fortælle folk, hvorfor de bliver indført, og hvilken værdi de bidrager med. Det betyder, at bestyrelserne også bør understøtte ledelsesteams ved at støtte investeringer i løbende træning, uddannelse og kulturændringsprogrammer specifikt rettet mod sikkerhed. Dette vil hjælpe med at sikre, at medarbejderne forstår og engagerer sig fuldt ud i de nye sikkerhedspolitikker.
Der er mere om dette emne i vores nye håndbog til bestyrelser om, hvordan man styrer indvirkningen af hybridarbejde på cybersikkerhed.
Du er muligvis også interesseret i vores infografik for hybridarbejde og sikkerhed, som dækker alle de centrale spørgsmål, bestyrelser skal overveje for at sikre, at de giver vejledning og understøtter virksomhedens behov.