I takt med at bedriftens cyberrisiko utvikler seg, må du også gjøre det. Her er fem tips til hvordan du kan skape en cybersikkerhetskultur som beskytter virksomheten og gir mening for de ansatte.
Å skape en kultur for cybersikkerhet har alltid vært en viktig del av en organisasjons cybersikkerhetsstrategi. Den massive overgangen til fjernarbeid som følge av covid-19, etterfulgt av fremveksten av hybride arbeidsplasser, har imidlertid endret trusselbildet fundamentalt.
Tidligere retningslinjer for cybersikkerhet, og til og med de som ble innført i begynnelsen av pandemien, må revurderes i møte med nye cybersikkerhetsutfordringer. Nye risikoer må identifiseres og beskrives, og det må sikres at de er i tråd med forretningsstrategien.
For når risikoprofilen endrer seg, må organisasjonens cybersikkerhetskultur også gjøre det. Og atferden og tankegangen som trengs for å håndtere sikkerhetsrisikoer i stadig endring - bedriftens cybersikkerhetskultur - må gjennomsyre hele organisasjonen.
Hva er en kultur for cybersikkerhet, og hvorfor er det viktig?
Cybersikkerhetskultur bør forstås som et arbeidsmiljø der alle er opptatt av cybersikkerhet og er motiverte for å forbedre den; folk forstår hvorfor cybersikkerhet er viktig og ser seg selv som en del av løsningen.
En kultur for cybersikkerhet sikrer også at de ansatte er klar over hvilke risikoer som finnes eller kan finnes, og at de vet hvordan de skal reagere på eller rapportere dem. Denne bevisstheten bidrar i sin tur til å beskytte organisasjonen bedre ved å skape en sterk forsvarslinje mot cyberangrep og potensielle datainnbrudd.
Utfordringer
Mangel på et tilstrekkelig sikkerhetsbudsjett er en av de største utfordringene for enhver organisasjon. En annen er å skape en cybersikkerhetskultur uten støtte fra ledelsen.
Sikkerhet har et dårlig rykte. "Sikkerhetsmerkevaren" er et viktig element i arbeidet med å skape en cybersikkerhetskultur. At de ikke alltid blir respektert eller forstått, er et hinder som sikkerhetsteamene må overvinne ved å arbeide for å endre folks holdninger til sikkerhet.
Organisasjonens sikkerhetssjef må ta utfordringen. Det vil være en utfordring for mange selskaper å finne en CISO som kan lede og bygge en kultur for cybersikkerhet - og gjøre det til en prioritet.
5 beste fremgangsmåter for å skape kultur
Her er en oversikt over fem eksempler på beste praksis som kan hjelpe informasjonssikkerhetsansvarlige med å skape en kultur for cybersikkerhet i hele organisasjonen.
1. Invester i de riktige sikkerhetsverktøyene.
Sikkerhetsverktøy er en viktig del av et lagdelt forsvar, men de er ikke noe universalmiddel mot cyberangrep. Det anbefales å ha et gjennomtenkt utvalg av cybersikkerhetsverktøy som kan supplere det "menneskelige aspektet" av cybersikkerhet.
Ved å investere i SIEM-løsninger som bruker maskinlæringsteknikker, kan du for eksempel hjelpe de ansatte på sikkerhetssenteret med å øke oppdagelses- og reaksjonsevnen, forbedre signal/støy-forholdet og sette sikkerhetsanalytikerne i stand til å fokusere på de viktigste truslene.
Det er imidlertid viktig å huske på at mangelen på cybersikkerhetskompetanse bare blir verre etter hvert som teknologien utvikler seg og cyberangrepene øker. Det er viktig å rekruttere, lære opp og beholde cybertalenter med ulik bakgrunn for å ligge i forkant av utviklingen.
2. Gjøre sikkerhet tilgjengelig
Sikkerhetssjefene må begynne å samarbeide med toppledelsen. Sikkerhetsekspertene må forstå og tilpasse seg forretningsstrategien, identifisere risikoene som er forbundet med strategien, og kommunisere dem på en hensiktsmessig måte i forretningsmessige termer.
Når lederne forstår, på en forståelig måte, hva risikoen er og hva som kreves av dem, er de i stand til å gå videre.
3. Fremme netthygiene fra ende til annen.
God praksis for cybersikkerhet må komme fra toppledelsen og forplante seg i hele organisasjonen for å få reell effekt. Hvis konsernsjefen viser gode rutiner for cybersikkerhet og går foran med et godt eksempel for resten av selskapet, vil resten av teamet sannsynligvis følge etter.
Cybersikkerhet må prioriteres og sette tonen for resten av selskapet.
- Oppfordre lederne til å delta på kurs i cybersikkerhet.
- Bruk sikkerhetsretningslinjer og -prosesser på alle nivåer, uavhengig av hierarkisk nivå.
- Samarbeid med beslutningstakerne for å tilpasse prosedyrene til hvordan de fungerer for styremedlemmene: Hvis retningslinjene ikke fungerer for dem, fungerer de sannsynligvis ikke for lavere nivåer i organisasjonen heller.
- Anta at det tar tid å spre praksiser i hele selskapet: Det tar tid og krefter å utvikle en kultur.
4. Fokus på mennesket
Sikkerhetsteam setter ofte feilaktig likhetstegn mellom et "menneskesentrert" sikkerhetsprogram og opplæring i sikkerhetsbevissthet som alle ansatte må gjennomføre.
Du må begynne med menneskene. Det betyr at du må analysere interessentene dine, forstå atferden og utfordringene deres og finne ut hva som må endres og hvordan du skal gjennomføre endringene. Basert på dette kan du så utarbeide sikkerhetskulturinitiativer for hver av disse interessentgruppene.
5. Arbeid med en nulltillitsstrategi
Sikkerhetsstrategier som flerfaktorautentisering (MFA) og Zero Trust diskuteres ofte i cybersikkerhetskretser som metoder for å øke tilgangskontrollen, men Zero Trust har blitt stadig mer populært, og mange organisasjoner ønsker nå å ta i bruk denne tankegangen.
En Zero Trust-strategi for bedriftens cybersikkerhet er et rammeverk som krever at alle brukere kontinuerlig autentiseres, autoriseres og valideres før de får tilgang til bestemte bedriftssystemer eller data. Dette omfatter både brukere innenfor og utenfor bedriftens nettverk, ettersom vi nå går inn i en permanent fase med hybrid arbeid.
Når denne modellen innføres i hele selskapet, betyr det at alle i selskapet må forholde seg til de samme sikkerhetstiltakene, noe som gir lite rom for feil som kan koste deg penger.
Konklusjon
Altfor få organisasjoner legger vekt på viktigheten av en god sikkerhetskultur, noe som kan føre til dårlige beslutninger, kompromitterte systemer og cyberbrudd.
Å utvikle en kultur for cybersikkerhet er en kontinuerlig prosess som krever involvering på alle nivåer i organisasjonen.
Ved å implementere gode rutiner for cybersikkerhet på arbeidsplassen din vil du ikke bare bygge en sikkerhetskultur over tid, men organisasjonen din vil også være bedre beskyttet mot cybertrusler.
