Admincontrol Blogg

Skapa en cybersäkerhetsmedveten kultur i en värld av hybridarbete

Skriven av Admincontrol | Nov 4, 2022 10:02:31 AM

Här spelar styrelsen en nyckelroll. I en rapport från PwC betonas att styrelsen måste hålla uppsikt över den här frågan, ställa rätt frågor till ledningsgruppen och minska risken för att den kultur som förenar personalen havererar.

Något som också blivit tydligt under senare år är att allt arbete som styrelsen bedriver för att åstadkomma kulturförändringar även måste inkluderar säkerhetsattityder. 

Detta av två huvudskäl:

1.  Hybridarbete innebär en hög hotnivå 

Det råder inget tvivel om att hybridarbete utsätter organisationer för ökad risk för säkerhetsintrång. Förekomsten av ransomware på företagsnätverk ökade med 72 % enbart under första halvan av 2020. Cyberkriminella utnyttjar även hybridarbetet genom att öka antalet e-postbaserade attacker mot publikt exponerade system och använder sig av sårbarheter som finns i äldre, ouppdaterade enheter.

2. Medarbetarna saknar kunskap och är ointresserade av problemet

En av de största anledningarna till att attackerna ökar är bristande kunskap hos anställda om hur allvarligt hotet är. En nyligen genomförd undersökning visade att mer än två tredjedelar av arbetstagarna inte funderar över cybersäkerheten när de arbetar hemifrån. Det finns också bevis på att anställda ignorerar säkerhetspolicyer som gäller distansarbete. Enligt en undersökning från HP Wolf Security upplevde 80 % av IT-avdelningarna irritation från användare under 2021 som inte gillade att de omfattas av säkerhetskontroller även i hemmet. Undersökningen fann också att över hälften av de yngre arbetstagarna la större vikt vid att hålla sina deadlines än att minska riskerna för dataintrång, och 39 % var osäkra på vilken säkerhetspolicy deras företag hade. Som en följd av detta anser 83 % av IT-avdelningarna att det blir ”omöjligt” att upprätthålla företagspolicyer för cybersäkerhet i en hybrid arbetsstruktur.

En ny attityd till säkerhet  

För att ta itu med dessa frågor måste styrelsen samarbeta med chefer och arbetsledare och bygga en ny typ av cybersäkerhetsmedveten kultur som skräddarsys för hybridarbete – en kultur där människor tar gemensamt ansvar, förstår riskerna med säkerhetsbrister och känner sig uppskattade för att de gör sin del av arbetet.

För att uppnå detta rekommenderar vi att man vidtar minst följande fyra viktiga åtgärder:

1. Involvera medarbetarna i utarbetandet av den nya kulturen

Bästa sättet att börja är att ta reda på vilken uppfattning medarbetarna har om nya säkerhetsrisker. Det skapar förutsättningar för en dialog och ger viktiga insikter i anställdas problem och utmaningar i distansarbetet när de försöker balansera produktivitet och hemarbete med behovet att skydda data och system. Det kommer också att ge värdefull information om hur väl medarbetarna förstår vilka hot som är kopplade till hybridarbete, riskerna med alla enheter de använder (även enheter som smarta högtalare) och vilket ansvar de har.

Bästa sättet att börja är att ta reda på vilken uppfattning medarbetarna har om nya säkerhetsrisker.

2. Skapa ett klimat som präglas av förtroende  

De flesta anställda är ovilliga att rapportera säkerhetshot av rädsla för repressalier. Det är en ohållbar situation och kommer sannolikt att leda till att fler intrång förblir oupptäckta. Det kan också leda till att man inte lär sig av fel och misstag som uppstår, och det blir ett hinder i det kontinuerliga arbetet med att förbättra säkerhetsprocesserna. Styrelsen bör därför axla ansvaret att skapa en öppnare dialog mellan anställda och chefer: uppmuntra transparens, visa uppskattning för ansvarsfull rapportering och driva en mer positiv cybersäkerhetsmedveten kultur.

3. Upprätta nya cybersäkerhetspolicyer för hybridarbete  

Med utgångspunkt i resultaten från utvärderingar och granskningar bör styrelsen också driva på arbetet med att upprätta nya eller revidera befintliga policyer för cybersäkerhet. Dessa bör anpassas specifikt till medarbetarnas förändrade arbetssätt. Styrelsen bör också fokusera på att införa nya nyckeltal som är otvetydiga för samtliga anställda.

4.  Följ upp policyer med utbildning

Det är ingen mening att rulla ut nya riktlinjer utan att berätta varför och vilket värde de kommer att tillföra. Därför bör styrelsen också stödja chefer och arbetsledare genom att backa upp investeringar i kontinuerliga utbildningsinsatser och kulturförändringsprogram som är specifikt inriktade på säkerhet. Det bidrar till att säkerställa att anställda fullt ut förstår och tar till sig nya säkerhetspolicyer.

Mer om detta ämne finns i vår nya handbok för styrelser om hur man hanterar hybridarbetets inverkan på cybersäkerheten