Cltre

IT-bransjen gjør det oppsiktsvekkende dårlig i måling av sikkerhetskultur

Kai Røer i Cltre mener det er alarmerende at IT-selskaper kommer så dårlig ut i målingene selskapet hans har gjort.

Kai Røer er daglig leder og medgründer i selskapet Cltre. Nå advarer han om dårlig sikkerhetskultur i IT-bransjen.
Kai Røer er daglig leder og medgründer i selskapet Cltre. Nå advarer han om dårlig sikkerhetskultur i IT-bransjen. (Foto: Katrine Lunke)
EKSTRA

Kai Røer i Cltre mener det er alarmerende at IT-selskaper kommer så dårlig ut i målingene selskapet hans har gjort.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

En skulle kanskje tro at IT-bransjen, altså selskapene som leverer IT-løsningene vi andre er avhengige av, er helt i tet når det gjelder sikkerhetskultur. Men intervjuer av de ansatte viser at det kanskje ikke helt er slik. 

Sju dimensjoner

Det norske selskapet Cltre har de siste årene intervjuet jevnlig målt sikkerhetskulturen hos selskaper i fire ulike bransjer, nemlig IT, handel, eiendomsmegling og finans. IT-bransjen kommer ikke særlig godt ut.

Ifølge daglig leder i Cltre, Kai Røer, bes samtlige ansatte hos kundene svare på 28 veldig spesifikke spørsmål eller målepunkter i et webbasert skjema. Hver ansatt får en individuell invitasjon til å delta.

Resultatet av dette sammenstilles til en poengsum på mellom 0 og 100 poeng i sju ulike dimensjoner som direkte eller indirekte påvirker sikkerhetskulturen i hvilken som helst bedrift.

I hver dimensjon regnes mellom 0 og 30 poeng som meget svak sikkerhetskultur, mens 90 til 100 poeng regnes som meget sterkt. 

Ifølge Røer må en opp på minst 80 poeng i hver av dimensjonene for at det ikke skal være en risiko forbundet med dette. 

Se faktaboksen for mer informasjon om dimensjonene. 

Sju dimensjoner i sikkerhetskulturen

  • Holdning: Ansattes følelser for og tanker om ulike aktiviteter knyttet til sikkerhetskultur.
  • Kognisjon: Ansattes bevissthet, kunnskap og oppfatninger om praksis, aktiviteter, og egen mestringsevne relatert til sikkerhetskultur.
  • Atferd: Faktiske eller tiltenkte aktiviteter ansatte gjør, som har direkte eller indirekte innvirkning på sikkerhetskultur og informasjonssikkerhet. Dette inkluderer også risikotaking.
  • Kommunikasjon: Måten ansatte kommuniserer og samhandler med hverandre, støtter hverandre i forbindelse med sikkerhetsproblemer og rapporterer hendelser.
  • Normer: Uskrevne forventninger til hva som er hensiktsmessig atferd ved bruk av informasjonsteknologi i organisasjonen. Oppfatning av hvilken praksis som er normal og uproblematisk.
  • Ansvar: Opplevd forpliktelse eller rolle til å oppføre seg riktig for å opprettholde sikkerhetskultur.
  • Etterlevelse: Bevissthet og forståelse for eksisterende organisasjonspolitikk for informasjonssikkerhet, og oppførsel i tråd med denne organisasjonspolitikken. 

Dårligst på flere områder

Tallene nedenfor viser poengsummen de ansatte IT-bransjen i gjennomsnitt har oppnådd. I parentes vises det samlede gjennomsnittet for alle de fire bransjene. 

  • Holdning: 60 (63)
  • Atferd: 67 (67)
  • Kognisjon: 48 (49)
  • Kommunikasjon: 67 (61)
  • Normer: 57 (55)
  • Ansvar: 71 (72)
  • Etterlevelse (compliance): 50 (54)

IT-bransjen scorer dårligst på dimensjonene holdning, kognisjon og etterlevelse.  

– Sikkerhetsholdning og kognisjon er lav i IT-bransjen. Dette er overraskende med tanke på at de ansatte i bransjen er kunnskapsarbeidere, som man skulle tro er åpne for å lære, sier Røer.

Det er omtrent 500 personer fra IT-bransjen som har deltatt i undersøkelsen som tallene over er basert på.

Alarmerende

Røer mener det er alarmerende at IT-bransjen kommer så dårlig ut i målingene.

– Den lave etterlevelsesscoren indikerer at ansatte ikke følger regler og prosesser. Enkelte virksomheter i bransjen har en kultur der IT-personell har full administratorrett og får tilgang til informasjon de ikke skulle hatt. For å forbedre etterlevelsesscoren bør flere implementere større restriksjoner i tilgang i organisasjoner, noe som også inkluderer toppledelse og IT-personell, fortsetter han.

Det kan virke som at de ikke er så veldig opptatt av sikkerhet og kunnskap rundt dette.

Kai Røer

Roer mener at ansatte i IT-bransjen bør få opplæring i sikkerhetskultur, samt få økt innsikt i den kritiske rollen bransjen har i digitaliseringen som nå skjer i alle bransjer. 

I forrige uke kom NorSIS med en ny rapport om nettopp digital sikkerhetskultur. Den forteller blant annet at en økende del av befolkningen i Norge er helt eller delvis enige i at de utsetter seg selv for en risiko når de bruker internett. Siden 2015 har andelen vokst fra 58 til 73 prosent. Samtidig er det stadig færre som mener at de får tilstrekkelig informasjon om truslene på nett.

Nær 3 av 4 mener at det er like viktig å tenke på informasjonssikkerhet både hjemme og på
jobb.

Det kan tyde på at interessen kanskje er der i befolkningen generelt, men at tilretteleggingen ikke er god nok.

Manglende interesse?

Videre sier Røer til digi.no at han syns det er litt fascinerende at tallene er så lave blant de ansatte i IT-bransjen.

– Det kan virke som at de ikke er så veldig opptatt av sikkerhet og kunnskap rundt dette, sier han.

På spørsmål om hva dette kan skyldes, sier Røer at det blir spekulasjoner og at han ikke ønsker å synse rundt dette. 

Best og dårligst i klassen

Den bransjen som gjør det best i målingene, er bank og finans. Røer tror dette kanskje kan ha sammenheng med det «compliance-fokuset» som bransjen har tradisjon for å ha.

– Men bank og finans er jo i ferd med å bli mye IT. Jeg kan tenke meg at vi vil se endringer framover, sier han, men understreker at han håper at de andre blir bedre framfor at bank og finans blir dårligere på sikkerhetskultur.

Les også

– Eiendomsmeglerbransjen er definitivt dårligst i alle dimensjonene. Det er fascinerende siden det er en ganske regulert bransje som tar seg av store transaksjoner. Kanskje de opplever at de ikke trenger fokus på sikkerhet, sier Røer. 

– Vi ønsker å se nærmere på dette framover. Da skal vi også se på forskjeller på tvers av landegrensene, legger han til. 

Relativt store kunder

Cltre ble etablert i 2015. De fleste av kundene er norske selskaper med internasjonal profil. 

Selskapene som benytter seg av tjenestene til Cltre, er altså litt større selskaper. 

– Sikkerhet og sikkerhetskultur står kanskje ikke høyest på agenda hos de mindre selskapene, sier Røer.

Siden 2012

Bakgrunnen for selskapet startet med at Røer i 2012 lagde et rammeverk for sikkerhetskultur. Ifølge ham er dette et fritt tilgjengelig verktøy for å bygge og vedlikeholde sikkerhetskultur, og det er populært i hele verden.  

Du må måle for å vite hvor du befinner deg.

Kai Røer

– Du må måle for å vite hvor du befinner deg, sier Røer.

Noe senere møtte han sloveneren Gregor Petrič, som er spesialist i sosialinformatikk og leder for denne satsingen ved Universitetet i Ljubljana. Dette handler om hvordan vi mennesker påvirker datamaskiner og vice versa. 

– Vi diskuterte hvordan man kan måle sikkerhetskultur og konkluderte med at vi hadde kompetanse som er god å kombinere. Selv har jeg sikkerhetsbakgrunn, forteller Røer. 

Samtidig så Røer et behov for enklere verktøy for utfylling.

Dette resulterte i at Cltre ble etablert og fikk med seg et par store norske kunder, Storebrand og Sparebank 1, fra starten av. 

Kjøpt opp

– Verktøyet vårt er utviklet vitenskapelig og er kanskje det beste verktøyet i verden til å måle sikkerhetskultur. Jeg er stolt av at det kan tilbys som et verktøy til alle, avslutter Røer.

Som digi.no tidligere har omtalt, er sikkerhetsmodellen som Cltre benytter, anbefalt av European Union Agency for Network and Information Security (ENISA). 

I mai i år ble det kjent at Cltre var blitt kjøpt opp av amerikanske Knowbe4.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen