Så skapar du en stark säkerhetskultur i din organisation

Förhållandet till säkerhet inom en organisation kan se väldigt olika ut. Vi vill betona hur viktigt samspelet mellan människor och säkerhetsincidenter är, för att kunna bygga en stark säkerhetskultur. En organisation med bra informationssäkerhet kräver gemensamt ansvar – både genom engagemang och prioriteringar från ledningen, och ansvarstagande från medarbetarna.

Två manliga medarbetare i färgglada skjortor interagerar

Traditionellt sett har säkerhetsincidenter som inträffar haft ett personfokus. Säkerhetsproblem har oftast benämnts som ett mänskligt fel, där den mänskliga faktorn har varit orsak till en händelse eller säkerhetsincident i organisationen.

Men om människor ses som ansvariga för vad som går fel, vem är då ansvarig för säkerheten i organisationen? Tänk om säkerhetsincidenter istället kan ses som en tillgång och möjlighet till utveckling, i stället för att skapa skam och skuld hos medarbetaren som orsakade händelsen?

Organisationens säkerhet är allas ansvar

Organisationens säkerhet är ett område som hela organisationen ska vara delaktiga i. Säkerhetskultur handlar om att ge medarbetarna rätt förutsättningar och möjligheter att kunna ta ansvar för att säkerhetsarbetet går rätt till.

Rätt åtgärder kan resultera i en bättre säkerhetskultur, där personalen blir en tillgång och styrka i organisationens säkerhetsarbete, snarare än en svaghet.

Icons/70px/Quotation-mark-70
Tänk om säkerhetsincidenter kan ses som en tillgång och möjlighet till utveckling, i stället för att skapa skam och skuld hos medarbetaren som orsakade händelsen?

Här kommer sex tips som hjälper er organisation att skapa en stark säkerhetskultur.

1. Tydliga värderingar i organisationen

Var tydlig med organisationens värderingar, både i ledningen och bland personal. Då blir det enklare att påverka vilken kultur och vilka beteendemönster som växer fram i organisationen.

2. Rätt förutsättningar för att kunna ta ansvar

Hjälp medarbetarna genom att utbilda och höja kompetensen inom säkerhet. Detta kan göras genom utbildningar eller att praktiskt testa medvetenheten, genom exempelvis simulerade phishingattacker.

Om man väljer att testa personalen är det också viktigt att ha en plan på hur man hanterar de medarbetare som "går i fällan". Se nästa punkt.

3. Rapportera in alla säkerhetsincidenter

Ha som rutin att samtliga säkerhetsincidenter som upptäcks eller orsakas ska rapporteras in. Var också tydlig med att ingen skam eller straff kommer att falla på den medarbetare som omedvetet orsakar en säkerhetsincident. 

4. Skapa ett säkerhetsforum

Utveckla ett forum där personalen kan diskutera säkerhetsrelaterade frågor, värderingar och beteenden. Arbeta aktivt med att se till att personalen får de svar de behöver på sina frågor, för att stärka säkerhetskulturen.

5. Granska arbetssättet på alla avdelningar

Se över hur organisationens olika avdelningar arbetar med informationssäkerhet. Hur jobbar de avdelningar där det sällan inträffar incidenter? Går det att applicera det arbetssättet på avdelningar där incidenter är vanligare?

Riskanalyser för varje enskild avdelning kan hjälpa till att visa på skillnader i organisationen – där man kan lära av goda exempel.

6. Visa att organisationen jobbar aktivt med informationssäkerhet

Informationssäkerhet består av tre hörnpelare; teknisk, organisatorisk och mänsklig säkerhet. Att jobba med samtliga tre områden är att ta ett helhetsgrepp kring informationssäkerheten. Detta gör det också tydligt för övriga organisationen att ett ansvarstagande finns och att man arbetar med alla delar.