DEBATT: Sikkerhetskultur

- Slik skaper dere en sikkerhetskultur

Sikkerhet har utviklet seg fra å være ansvaret til en utvalgt gruppe i bedriften, til å bli noe alle i bedriften bærer ansvar for. Det må bli en del av bedriftskulturen der enhver tar sikkerheten på alvor, og bruker den som et rammeverk for adferd, teknologiutvikling og beslutninger.

Tobias Börjesson er leder for løsningsarkitektur i Amazon Web Services Norden.
Tobias Börjesson er leder for løsningsarkitektur i Amazon Web Services Norden. (Foto: AWS)

Sikkerhet har utviklet seg fra å være ansvaret til en utvalgt gruppe i bedriften, til å bli noe alle i bedriften bærer ansvar for. Det må bli en del av bedriftskulturen der enhver tar sikkerheten på alvor, og bruker den som et rammeverk for adferd, teknologiutvikling og beslutninger.

  • Sikkerhet

Dette debattinnlegget gir uttrykk for skribentens meninger. Debattinnlegg kan sendes til tips@digi.no

En optimistisk og proaktiv sikkerhetstilnærming er viktigere enn noen gang for å skape en bedrift som kan være trygg og samtidig henge med i utviklingen. Men hvordan gjøres dette i praksis, og hvordan kan en bedrift implementere effektive retningslinjer og regler for sikkerheten? Og hva er egentlig en god sikkerhetskultur? En god sikkerhetskultur oppstår når de ansvarlige for fagområdet jobber tett med resten av bedriften.

Dersom vi antar at de ansatte ønsker og vil gjøre det som er rett for virksomheten, bør det sikreste alternativet gjøres til det enkleste valget. Det handler med andre ord ikke bare om teknologi, men også om menneskene og bedriftskulturen. 

Tradisjonelt har sikkerhet blitt sett på som kontrollport som skal passeres, eller noe som hektes på mot slutten av prosjektet. Et ansvar for mennesker med sikkerhet i tittelen. Moderne og vellykkede bedrifter derimot tenker på sikkerhet som noe positivt og grunnleggende for bedriftskulturen, og noe som ledere, mellomledere og ansatte må ta på alvor. Hvilket betyr at sikkerhet er en del av absolutt alle forretningsprosesser for å bygge robuste og levedyktige bedrifter.

Men hva skal til for å skape denne sikkerhetskulturen? Under følger fem nøkkelprinsipper alle bedrifter og organisasjoner bør følge.

Utdanning

Det å utdanne de ansatte innen sikkerhet er alfa og omega for å ivareta en bedrifts sikkerhet. Ved å oppdatere ansatte på tilgjengelig teknologi, spørre sikkerhetsspesialister om råd og aktivt jobbe for å forstå bakenforliggende regler, settes alle i første forsvarslinje. Noe som reduserer sjansen for å begå små feil som kan innebære i en sikkerhetsrisiko.  

Sikkerhetshygiene

Såkalt god sikkerhetshygiene er viktig for å hindre at små feil blir til store problemer. Dårlig sikkerhetspraksis kan for eksempel innebære deling av passord og brukernavn. Det er bedriften sitt ansvar å sørge for at systemer er på plass for nettopp unngå denne type feil. For å unngå slike feil kan for eksempel AWS sine tjenester brukes med midlertidig legitimasjon som bare fungerer i noen minutter eller timer. Denne midlertidige adgangen er også avgrenset til å kun gi behovsbasert tilgang. Dette gir økt tilgangskontroll for å redusere sjansen for utilsiktet tilgang til kritisk virksomhetsinformasjon.

Lær av feil – uten skyld

Det vil alltid være problemer med både mennesker og teknologi. Lær av feil for å ta grep. Skap en kultur der man lærer av sine feil, og hvor årsaken analyseres og objektivt og uten skyldfordeling. Ikke spør om hva som er gjort feil, men om hva som kan gjøres for å riktig neste gang for å unngå at det skjer igjen. Da får du en kultur der de ansatte er komfortable med å ta opp sikkerhetsproblemer, og de vet at de får støtte og ikke refs.

Les også

Møt menneskene der de er

Å jobbe med utviklerne i bedriften hjelper deg med å forstå hva de må gjennom for å utvikle og lansere programvare. Sikkerhet kan innarbeides som en naturlig del av arbeidet utviklerne gjør, og gjennom bruk av tjenester som bistår utviklerne på en slik måte at de kan fokusere på forretningslogikk. For eksempel det å integrere skyplattformen med bedriftens eksisterende identitetsløsninger lar utviklerne bruke tillatelser på en definert og akseptert måte i applikasjonene de utvikler. Slik sikres det at utviklerne følger bedriftens retningslinjer og at flaskehalser unngås ved lanseringen av programvaren. Ved å bruke automatiserte tester i utviklingsprosessen, kan det gis tilbakemeldinger til utviklerne for å sikre at de bygger programvare i samsvar med bedriftens sikkerhetskrav.

Analyse og overvåkning

Det å kunne måle sikkerheten og gi tilgang til data lar deg forstå og kommunisere hvordan de ulike delene av bedriften presterer.  Hvis du kan identifisere team som gjør det bra eller utvikler innovative løsninger kan du utnytte dette i hele bedriften. Fortell folk hva de måles mot og gi dem innsikt i hvordan de vurderes mot målekriteriene via lett tilgjengelige verktøy. Hvilket fremmer en eierkultur som forsterker sikkerhetstilnærmingen.

En god sikkerhetskultur bidrar til å forsterke en bedrifts sikkerhet i alle ledd i form av ansatte, teknologiutvikling og beslutninger. Men for å lykkes må bedriften har en strukturell tilnærming til prosessen med rammeverkimplementeringen. En sikkerhetskultur er basert på kunnskap, hygiene, trusselmodellering og at alle ansatte jobber sammen som et team mot samme mål.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen