Når en virksomheds cyberrisici udvikler sig, skal du også gøre det. Her er 5 tips til at skabe en cybersikkerhedskultur, der beskytter din virksomhed og er meningsfuld for dine medarbejdere.
At skabe en kultur for cybersikkerhed har altid været et vigtigt element i en organisations cybersikkerhedsstrategi. Men det massive skift til fjernarbejde, som COVID-19 har medført, efterfulgt af væksten i hybride arbejdspladser, har ændret trusselsbilledet fundamentalt.
Tidligere tiders cybersikkerhedspolitikker, og selv dem, der blev indført i begyndelsen af pandemien, skal revurderes i lyset af nye cybersikkerhedsudfordringer. Nye risici skal identificeres, formuleres og sikres, at de er i overensstemmelse med forretningsstrategien.
For når risikoprofilerne ændrer sig, skal en organisations cybersikkerhedskultur også gøre det. Og den adfærd og tankegang, der er nødvendig for at håndtere de skiftende sikkerhedsrisici - en virksomheds cybersikkerhedskultur - skal være udbredt i hele organisationen.
Hvad er en cybersikkerhedskultur, og hvorfor er den vigtig?
Cybersikkerhedskultur skal ses som et arbejdsmiljø, hvor alle bekymrer sig om cybersikkerhed og er motiverede til at forbedre den; folk forstår, hvorfor cybersikkerhed er vigtig, og ser sig selv som en del af løsningen.
At fremme en cybersikkerhedskultur sikrer også, at medarbejderne er bevidste om, hvilke risici der er eller kan være, og forstår, hvordan de skal reagere på eller rapportere dem. Denne bevidsthed hjælper til gengæld med at beskytte en organisation bedre ved at skabe en stærk forsvarslinje mod cyberangreb og potentielle databrud.
Udfordringer
Mangel på et tilstrækkeligt budget til sikkerhed er en af de største udfordringer for enhver organisation. En anden er at skabe en cybersikkerhedskultur uden støtte fra virksomhedens ledelse.
Sikkerhed har et dårligt ry. "Sikkerhedsbrandet" er et vigtigt element i skabelsen af en cybersikkerhedskultur. At de ikke altid bliver respekteret eller forstået, er en forhindring, som sikkerhedsteams skal overvinde ved at arbejde på at ændre folks holdning til sikkerhed.
Organisationens Chief Security Officer skal tage udfordringen op. Det vil være en udfordring for mange virksomheder at finde en CISO, der kan lede og opbygge en kultur for cybersikkerhed - og gøre det til en prioritet.
5 bedste metoder til at skabe kultur
Her er en oversigt over fem vigtige best practices, der kan hjælpe fagfolk inden for informationssikkerhed med at skabe en cybersikkerhedskultur i hele organisationen.
1. Invester i de rigtige sikkerhedsværktøjer.
Sikkerhedsværktøjer er en integreret del af et lagdelt forsvar, men de er ikke et universalmiddel mod cyberangreb. Det er tilrådeligt at have et velgennemtænkt supplement af cybersikkerhedsværktøjer, der kan øge det "menneskelige aspekt" af cybersikkerhed.
Investering i SIEM-løsninger, der bruger maskinlæringsteknikker, kan f.eks. hjælpe personalet i sikkerhedsoperationscentre med at øge deres detektions- og reaktionsevne, forbedre signal-støj-forholdet og gøre det muligt for sikkerhedsanalytikere at fokusere på de trusler, der betyder noget.
Men det er vigtigt at huske, at manglen på cybersikkerhedskompetencer kun bliver værre, efterhånden som teknologien udvikler sig, og cyberangrebene bliver flere. Det er bydende nødvendigt at rekruttere, uddanne og fastholde cybertalenter fra en bred vifte af baggrunde for at være på forkant med udviklingen.
2. Gør sikkerhed tilgængelig
Sikkerhedschefer skal begynde at arbejde sammen med den øverste ledelse. Sikkerhedsfolk skal forstå og tilpasse sig forretningsstrategien, identificere de risici, der er forbundet med denne strategi, og kommunikere dem på en passende måde i forretningstermer.
Når lederne forstår, hvad risikoen er, og hvad der kræves af dem, er de i stand til at komme videre.
3. Fremme cyberhygiejne fra ende til anden.
For at gøre en reel forskel skal god cybersikkerhedspraksis komme fra C-niveauet og filtreres gennem din organisation. Hvis din CEO udviser positiv cybersikkerhedspraksis og er et godt eksempel for resten af virksomheden, vil resten af teamet sandsynligvis følge trop.
Cybersikkerhed skal prioriteres og være toneangivende for resten af virksomheden.
- Tilskynd dine ledere til at deltage i kurser i cybersikkerhed.
- Anvend sikkerhedspolitikker og -processer over hele linjen, uanset hierarkisk niveau.
- Samarbejd med beslutningstagere om at tilpasse procedurer til, hvordan de fungerer for bestyrelsesmedlemmer: Hvis politikker ikke fungerer for dem, fungerer de sandsynligvis heller ikke for lavere niveauer i organisationen.
- Antag, at det tager tid at sprede praksis i hele virksomheden: Det tager tid og kræfter for kulturen at udvikle sig.
4. Fokus på det menneskelige væsen
Sikkerhedsteams sætter ofte fejlagtigt lighedstegn mellem at have et "menneskecentreret" sikkerhedsprogram og at tilbyde træning i sikkerhedsbevidsthed, som alle medarbejdere skal gennemgå.
Du er nødt til at starte med mennesker. Det betyder, at du skal analysere dine interessenter, forstå deres adfærd og udfordringer og finde ud af, hvad der skal ændres, og hvordan det skal implementeres. Baseret på det skaber du så dine sikkerhedskulturinitiativer for hver af disse interessentgrupper.
5. Arbejde på en nultillidsstrategi
Sikkerhedsstrategier som multifaktorautentificering (MFA) og Zero Trust diskuteres ofte i cybersikkerhedskredse som metoder til at øge adgangskontrollen, men Zero Trust har hurtigt vundet popularitet, og mange organisationer ønsker nu at indføre denne tankegang.
En Zero Trust-strategi for virksomhedens cybersikkerhed er en ramme, der kræver, at alle brugere løbende autentificeres, autoriseres og valideres, før de får adgang til bestemte virksomhedssystemer eller data. Dette omfatter både brugere inden for virksomhedens netværk og brugere uden for virksomhedens netværk, da vi går ind i en permanent fase med hybrid arbejde.
At indføre denne model i hele virksomheden betyder, at alle i virksomheden står over for de samme sikkerhedsforanstaltninger, hvilket giver lidt plads til fejl, der kan koste dig forretning.
Konklusion
For få organisationer lægger vægt på vigtigheden af sikkerhedskultur, hvilket kan føre til dårligt uddannede beslutningstagere, kompromitterede systemer og cyberbrud.
At udvikle en cybersikkerhedskultur er en løbende proces, som kræver involvering af alle niveauer i en organisation.
Ved at implementere god praksis for cybersikkerhed på din arbejdsplads vil du ikke kun opbygge en sikkerhedskultur over tid, men din organisation vil også være bedre beskyttet mod cybertrusler.
