Av Eirik Gjesteland, Security Senior Manager 

God sikkerhetskultur i en organisasjon er en forutsetning for en sikker organisasjon. Økt digitalisering har gitt et helt annet risikobilde og det har aldri vært viktigere å forstå hvordan din organisasjons risiko forandres i takt med økt digitalisering. Behovet for god intern sikkerhetskultur gjør seg dermed gjeldende. Slik utviklingen går nå ser vi at målrettede angrep blir mer og mer sofistikerte, samtidig som det er stadig mer å hente for de med onde hensikter. Kritisk infrastruktur og samfunnsfunksjoner er et attraktivt mål. Hvordan skal du sikre din organisasjon, både i dag og i fremtiden?

Rutiner alene er ikke veien til god sikkerhet

Hvordan skal du som leder sørge for at de ansatte er det sikreste leddet i organisasjonen og ikke akilleshælen? Det er et spørsmål mange ledere i dag spør seg. Sannheten er at dine medarbeidere utgjør både første og siste skanse. I økende grad ser vi at tradisjonelle sikkerhetstiltak som brannmurer og antivirusprogram er ikke tilstrekkelig for å demme opp for de nye truslene. Derfor er det viktig at ledere skaper en sterk sikkerhetskultur hvor hver enkelt medarbeider er med på å styrke bedriftens sikkerhet. I mange organisasjoner er det en del ansatte som ikke innser hva slags risiko de tar på vegne av virksomheten – at de rett og slett ikke forstår det store sikkerhetsbildet og hvilken fare snarveier og raske løsninger kan utgjøre. I slike tilfeller er det opp til lederne å etablere en god sikkerhetskultur og omsette de ansattes kompetanse og kunnskap til organisasjonens styrke og sikkerhet.  Sannheten er at det er de ansatte som ofte sitter på kunnskapen for å gjøre din organisasjon sikrere, og det er opp til deg som leder å forstå hvordan du kan bruke de ansatte som sikkerhetsressurser, fremfor å se på dem som sikkerhetsutfordringer. Dette handler i like stor grad om internkommunikasjon som om gode rutiner. Det er de ansatte som til syvende og sist vil skape en kultur i organisasjonen der sikkerhet er i fokus og det er lederes ansvar å fange opp kunnskap fra de ansatte om organisasjonens sikkerhetsnivå og hva som kan gjøres for å forbedre det.

Sikkerhet fra styrerom til kontrollrom

En organisasjon kan legge til rette så mye de vil, men uten de ansatte på laget faller korthuset sammen. For deg som leder og organisasjonen som helhet er det da viktig å vite hva som er sikker adferd og ikke minst øve på det. Skal du skape en god sikkerhetskultur må sikkerhet kommuniseres gjennom hele selskapet, fra styrerom til kontrollrom. En av de viktigste forutsetningene for å skape en sikker organisasjon er å sørge for at man tenker sikkerhet i hele livsløpet og på alle nivåer. Stadig flere (men ennå langt fra alle) tar innover seg alvoret og forankrer sikkerhet på toppnivå. Ledelsen vil ønske seg et realistisk risikobilde og vil i mange tilfeller få seg en overraskelse når dette rapporteres ærlig nedenifra og opp. Mange organisasjoner er ikke er bevisste nok den risikoen de opererer under. Da gjelder det å sette risikobildet i system.

«Hvem har sikkerhetsansvar?»

Som konsulent ser jeg ofte en tendens til at ledelsen har riktig innstilling – at de tar sikkerhet på alvor - men at alvoret forsvinner mer og mer i hverdagens mas og skiftende prioriteringer jo lenger ned i organisasjonen man kommer. Det de ansatte derimot har, er kunnskap om hvordan ting ser ut under panseret. Det vil dermed være opp til deg som leder å forvalte dine ansattes kunnskap og erfaring slik at dere sammen kan skape en sikrere organisasjon med en god sikkerhetskultur. «Hvem har et sikkerhetsansvar?», får jeg ofte spørsmål om. Det enkle og kanskje banale svaret er at dette ansvaret påligger hele organisasjonen, fra den enkeltansatte til CEO. Det handler om å skape en sikkerhetskultur som gjennomsyrer organisasjonen der ALLE har en risikoforståelse.

«Og hva skal vi gjøre?»

«Og hva kan vi gjøre?», er gjerne neste spørsmål. Jo – start med å engasjere de ansatte og oppmuntre dem til å rapportere faktisk risiko og ikke glansbilder. Røyk ut reelle sårbarheter og risikoområder. Utfordre de ansatte til å tenke som angripere og sabotører. Arranger bounty hunt-konkurranser – den som finner den alvorligste sårbarheten eller skisserer det mest alvorlige (realistiske) angrepsscenarioet vinner en fruktkurv eller en uke ekstra ferie. Slutt å legge risikovurderinger i en skuff – bruk dem aktivt i prioriteringsarbeid. Få ledere på ulike nivåer til å føle ansvar for sikkerheten i egen gruppering og i løsningene de er ansvarlige for. Øv jevnlig på realistiske angrep. Kjør phishing-kampanjer mot alle ansatte og se hvor mange som fremdeles åpner vedlegg og klikker på lenker fra ukjente. Test beredskap og reserverutiner slik at alle vet hva de skal gjøre den dagen det er alvor. Den dagen du med hånden på hjertet kan si at alle ansatte i din organisasjon gjør sitt ytterste for å forhindre sikkerhetshendelser kan du være fornøyd med kulturen du har skapt.

Les mer om våre sikkerhetstjenester her. 

 

Eirik Gjesteland

Security Senior Manager

Subscribe to Accenture's Innsikt Subscribe to Accenture's Innsikt