Veileder i kompetanse- og kulturutvikling innen digital sikkerhet

Denne veilederen omhandler arbeid med utvikling av kompetanse og kultur knyttet til digital sikkerhet. Vi anbefaler at du har startet med å kartlegge den digitale sikkerhetskulturen i virksomheten.

    Om veiledningen

    Denne veilederen omhandler arbeid med utvikling av kompetanse og kultur knyttet til digital sikkerhet. Veilederen kan brukes sammen med Digitaliseringsdirektoratets «Veileder for kartlegging av digital sikkerhetskultur». Veiledningsmaterialet er utviklet for deg som arbeider med digital sikkerhet eller som er leder i offentlig forvaltning, uavhengig av tidligere erfaring. Veilederen er utformet slik at også de som er nye innen fagfeltet digital sikkerhetskompetanse og digital sikkerhetskultur skal kunne nyttiggjøre seg av innholdet.

    Hoveddelen av denne veilederen beskriver hvordan man kan arbeide helhetlig med digital sikkerhetskompetanse og -kultur ved å kartlegge behov, velge tiltak tilpasset målgruppe, måle effekt og tenke helhetlig. Veiledningen går også nærmere inn på hvordan man kan jobbe med ulike faktorer som påvirker digital sikkerhetskultur.

    Kompetanse- og kulturutvikling en kontinuerlig prosess, der virksomhetens ledelse må ta stilling til om organisasjonen har nødvendig kompetanse og en velfungerende organisasjonskultur som skal opprettholdes og forsterkes, eller om det er behov for forbedringer. Små feil, misforståelser og manglende kunnskap og ferdigheter kan korrigeres gjennom opplæring og veiledning, mens endring av kultur er en mer langsiktig og omfattende prosess. Endringer kan være nødvendig fordi kulturen ikke bidrar til at virksomheten når sine mål, eller fordi kravene til virksomheten har endret seg. Det kan også være subkulturer innen organisasjonen som det er nødvendig å ta tak i og utvikle, for å sørge for at organisasjonen har en kultur som passer til virksomhetens mål og menneskene i organisasjonen.

    Den enkeltes kunnskap, adferd og holdninger til digital sikkerhet er en del av dette – en del av virksomhetens digitale sikkerhetskultur. Den digitale sikkerhetskulturen ligger til grunn for den enkeltes valg for håndtering av digital informasjon og systemer. Digital sikkerhetskultur er dermed den felles oppfattelsen i virksomheten som har positive eller negative konsekvenser for den digitale sikkerheten.

    Kulturen i en organisasjon beskriver det karakteristiske for menneskene i organisasjonen, herunder deres sosiale vaner, deres holdninger, verdier og prioriteringer. For at en slik kultur skal være varig, krever den lojalitet og solidaritet, og de egenskapene som beskriver kulturen må overføres til nye ansatte. De ansatte må identifisere seg som en del av gruppen, bidra til den og føye seg etter de skrevne og ikke-skrevne normene for holdninger og adferd.

    Det er ledelsen i en virksomhet som har ansvar for at digital sikkerhet ivaretas. Dette innebærer bl.a. et ansvar for å sørge for at medarbeiderne har tilstrekkelig kunnskap om digital sikkerhet for å kunne utføre sine oppgaver. I praksis vil det daglige ansvaret for å gjennomføre kultur- og opplæringsaktiviteter være delegert nedover i virksomheten, og innen digital sikkerhet er det gjerne fagansvarlig informasjonssikkerhet som får ansvaret for å iverksette tiltak.

    Lesere bør også være kjent med tilhørende bakgrunnsinformasjon til veiledningen, hvor vi beskriver grunnlaget for arbeidet med digital sikkerhetskompetanse og -kultur, og hvordan arbeid med utvikling av kompetanse- og sikkerhetskultur er knyttet opp mot virksomhetens arbeid med internkontroll:

    Bakgrunnsinformasjon for kompetanse- og kulturutvikling innen digital sikkerhet

    For denne veiledningen bør lesere være kjent med sentrale begreper som benyttes i veiledningsmaterialet om kompetanse- og kulturutvikling innen digital sikkerhet:

    Begreper for kompetanse- og kulturutvikling innen digital sikkerhet

    Helhetlig arbeid med kompetanse- og kulturutvikling

    Målet er å ha et opplæringsprogram som bidrar til at ansatte får nødvendig opplæring for å kunne utføre sine daglige oppgaver på en sikker måte, og som bidrar til at sikkerhetskulturen utvikler seg i ønsket retning. De ansatte skal gjennom ulike aktiviteter:

    • få kunnskap om hvilken betydning digital sikkerhet har for sine arbeidsoppgaver.
    • få forståelse for hvordan uønskede hendelser kan hindre dem i å få gjort jobben sin, eller få konsekvenser for andre.
    • kjenne virksomhetens interne rutiner for varsling av hendelser.
    • bidra i utviklingen av virksomhetens sikkerhetskultur.

    Opplæringstiltak bør vurderes helhetlig og være igangsatt på bakgrunn av behov. Effekten av opplæringen bør jevnlig evalueres og opplæringstiltakene bør revideres etter behov.

    Det er viktig å forankre opplærings- og utviklingsaktiviteter i ledelsen. Før man går i gang med planleggingen av ulike aktiviteter bør man derfor ha:

    • forankret arbeidet på riktig nivå i organisasjonen.
    • kartlagt hvem i organisasjonen du bør involvere i arbeidet. Dette kan være HR-avdeling, kommunikasjonsavdeling, driftsavdeling etc.

    Noen virksomheter setter i gang en tidsbegrenset opplæringskampanje som for eksempel har som mål å øke kompetansen, endre adferdsmønstre, utvikle ønskede normer eller bidra til bevisstgjøring hos de ansatte innenfor visse temaer. Dette er et godt tiltak, men bør sees i en større kontekst, blant annet for å sikre at nødvendig opplæring gis der det er størst behov. Under følger anbefalinger til hvordan man kan jobbe med opplæring innen digital sikkerhet, i følgende steg:

    • Kartlegge behov – sette i gang tiltak på relevante områder
    • Velge målgruppe
    • Ta i bruk passende tiltak
    • Tenke helhetlig – se tiltak i sammenheng
    • Måle effekt
    • Etablere forvaltningsregime

    Tips:

    Husk:

    • Ledelsens ansvar og ledelsesforankring er viktig. Uten ledelsens støtte er det vanskelig å få gjennomført nødvendige tiltak blant annet fordi det blir vanskelig å få prioritert nødvendig tid og ressurser til å utføre aktiviteten.
    • Det kan være krevende å holde på med kompetanse- og kulturutvikling. Ikke mist motet, og hør på deltagernes tilbakemeldinger.

    Kartlegge behov - sette i gang tiltak på relevante områder

    Det er viktig at virksomhetene har kartlagt den digitale sikkerhetskulturen før det igangsettes tiltak. På den måten vet man at virksomheten bruker ressursene der det er behov og der tiltakene har størst effekt. Det første man må gjøre er derfor å velge ut hvilke områder og hvilke temaer det skal fokuseres på.

    Tiltak kan være nødvendige blant annet fordi:

    • Risikovurderinger tilsier at tiltak er nødvendig på et område
    • Revisjoner, evalueringer eller kartlegginger har vist at sikkerhetskulturen bør forbedres
    • Behov er identifisert i virksomhetsledelsens gjennomgang
    • Virksomheten har forpliktelser i henhold til lov eller avtale
    • Erfaringer fra øvelser og hendelseshåndtering viser behov for tiltak

    Når man velger ut fokusområder, er det viktig å sette seg konkrete mål. Hvis ikke målene er konkrete og målbare, er det vanskelig å se om tiltakene har ønsket effekt.

    Velge målgruppe

    Det er ikke nødvendig å sette i gang tiltak for ansatte som ikke har behov for det. Når det er konkludert med at det er behov for opplæring, er det derfor viktig å identifisere målgruppen for opplæringen. Spørsmål man kan stille seg, er for eksempel: Trenger alle ansatte opplæring, eller er det kun visse grupper? Er det kun relevant for nyansatte, eller er det aktuelt å inkludere øvrige ansatte? Hvilke målgrupper som finnes, vil variere mellom virksomhetene.

    Eksempler på målgrupper er:

    • Risikoeiere (Linjeledere, operativt ansvarlig)
    • Ledergruppen
    • Systemeier
    • Systemutviklere
    • Nyansatte
    • IT-driftspersonell/brukerstøtte
    • Saksbehandlere
    • Kundesenter
    • Innleid personell
    • Organisatoriske enheter, som avdelinger, seksjoner eller tilsvarende
    • Alle ansatte

    Tips:

    • Vurder nøye hvilke målgrupper du har i din virksomhet og hvilke tiltak som vil passe for å motivere målgruppene. Samme tilnærming passer ikke for alle.
    • Involver hele organisasjonen.
    • Ha tydelige og klare budskap.
    • Hvis du inviterer til åpne arrangementer, er det viktig å kommunisere på forhånd hvilken målgruppe du ønsker skal delta. Hvis deltagerne føler budskapet ikke treffer dem, kan de i verste fall miste interessen for å lære mer om digital sikkerhet. Dette kan føre til at de ikke deltar på fremtidige arrangementer som faktisk er rettet mot dem.
    • Trekk inn kommunikasjonsenheten/de som jobber med kommunikasjon tidlig i prosessen, for å få gode tips og råd til hvordan du kan nå frem til din målgruppe.
    • Involver de minst endringsvillige tidlig i prosessen med utvikling av opplæringstiltak. Du kan da få kritikerne til å bli dine beste ambassadører.
    • Repeter budskapet etter behov.

    Ta i bruk passende tiltak

    Det er mange ulike tiltak som kan benyttes når man arbeider med kompetanse- og kulturutvikling. Det er viktig å velge tiltak som er egnet for å nå målgruppen, og som er mulig å gjennomføre utfra tilgjengelige ressurser og hjelpemidler. Vurder nøye kapasitet til å planlegge, gjennomføre og evaluere aktiviteten opp mot økonomiske ressurser tilgjengelig.

    For å nå frem til enkelte målgrupper kan det være aktuelt å bruke flere tiltak, og variere bruken av dem. I tillegg kan et tiltak som har fungert godt miste noe av effekten over tid. Det kan derfor være hensiktsmessig å vente en periode før tiltaket tas i bruk igjen.

    Når man jobber med sikkerhetsopplæring, er det viktig å ha et bevisst forhold til om opplæringen skal gi konkret kunnskap, bevisstgjøre ansatte, trene ferdigheter, eller bidra til utviklingen av organisasjonens kultur. Samme tiltak er ikke nødvendigvis egnet for å nå alle målsetningene. For eksempel vil dilemmatrening være et bra tiltak for å bevisstgjøre ansatte og utvikle organisasjonens kultur, men mindre egnet dersom man skal trene på en bestemt ferdighet.

    Eksempler på tiltak er:

    • Aksjon/stunt (f.eks. utdeling av sjokolade til de som har låst pc.)
    • Ambassadører (ansatte som får en særskilt rolle i digital sikkerhetsarbeidet i en enkelt enhet.)
    • Deltagelse i fora eller møter for å utveksle informasjon og skape dialog
    • Dilemmatrening (Diskusjoner og/eller refleksjonsøvelser f.eks. gjennom bruk av spill, gruppediskusjoner og rollespill.)
    • Egenerklæring
    • En-til-en samtaler
    • E-læringskurs av ulikt omfang (korte med spissede budskap, eller lengre med mer faglig innhold)
    • Filmer
    • Informasjon på skjermer, plakater, intranett, oppslagstavler o.l.
    • Informasjonsskriv, løpesedler ol.
    • Klasseromsundervisning/foredrag
    • Kurs
    • Podcast
    • Samtaler i uformelle møteplasser (f.eks. under fredagskaffe og lunsj)
    • Webinar

    Tips:

    • Ikke gap over for mye i starten. Det kan være lettere å starte i det små med et lite tiltak, som etter hvert kan skaleres opp.
    • Fokuser på å øke de ansattes mestringsfølelse. Hvis målet er å endre adferd, må den enkelte ha tro på at de får det til.
    • Fokuser på at de ansatte skal kjenne seg igjen i arbeidssituasjonen, gjennom å tilpasse tiltakene.
    • Ved bruk av tekniske hjelpemidler, f.eks. e-læringskurs, er det viktig å sjekke at de tekniske forutsetningene for opplæringstiltaket er til stede, samt teste løsningen godt før utrulling.
    • Når du skal rulle ut et opplæringstiltak, kan det være lurt å skaffe noen ambassadører. Dette er personer i organisasjonen som vil kunne spre budskapet og få andre til å delta, reflektere over, og komme med tilbakemeldinger på opplæringen.
    • Varier tiltaksbruken.
    • Humor er viktig. Dette kan være et godt tiltak for å få digital sikkerhet til å bli et tema i kantina. Samtidig må humoren være tilpasset de ansatte. Se an organisasjonen, og ikke overdriv.
    • Historier fungerer ofte bedre enn statistikk. Ved å gjøre budskapet personlig og relevant, vil flere huske budskapet i ettertid.
    • En god måte å bevisstgjøre ansatte på, er å få dem til å forstå hvorfor digital sikkerhet er viktig og relevant for den enkelte. Dette kan f.eks. gjøres ved å få de ansatte til å reflektere over spørsmålet «hvorfor er digital sikkerhet viktig for meg i min jobb»?
    • Egenerklæringer kan være egnet for å få bekreftet gjennomført opplæring og kunne fremlegge dokumentasjon ved en eventuell revisjon. Husk at erklæringene ikke gir informasjon om faktisk forståelse for, og etterlevelse av, krav.

    Tenke helhetlig - se tiltak i sammenheng

    Det er vanligvis et behov for å ha tiltak på mange ulike områder, inkludert digital sikkerhet.

    Sammenheng mellom tiltak innen ulike fagområder

    Det kan være lurt å se på tiltakene i virksomheten i sammenheng, slik at man sparer tid og ressurser. Opplæring bør gis tematisk og i en god rekkefølge, slik at de ansatte ser sammenhengen mellom de ulike områdene det gis opplæring innen. Enkeltstående tiltak innen et konkret tema vil kunne gi økt kunnskap blant ansatte innenfor det aktuelle området, men gi mindre bevisstgjøring fordi man ikke ser hvordan det henger sammen med virksomhetens mål og øvrige prosesser.

    Når man skal gjennomføre tiltak bør man derfor undersøke om man allerede har etablert eller tatt i bruk tiltak på andre områder som kan benyttes.

    Tips:

    • Inkluder digital sikkerhet når det gis opplæring i arbeidsprosesser og bruk av IKT-verktøy.
    • Bruk gjerne eksisterende fora/møteplasser.
    • Ikke legg opplæringsaktiviteter til de travleste periodene i virksomheten.

    Legg en plan for kompetanseheving og opplæring

    Kompetanse- og opplæringsplaner, både for virksomheten generelt og for digital sikkerhet spesielt, kan bidra til at opplæringen skjer mer systematisk. Det er den enkelte virksomhet som selv må vurdere hvilket behov det er for planer, og på hvilket nivå. Planene kan være i egne dokumenter, eller være en del av øvrige dokumenter. Det viktige er å ta stilling til hvilke kompetansebehov virksomheten har, og arbeide systematisk for å dekke det.

    Kompetanseplaner innen digital sikkerhet er et nyttig tiltak for å oppnå en helhetlig tilnærming til kompetanseheving. Noen virksomheter har generelle kompetanseplaner som skal beskrive virksomhetens totale kompetansebehov. Det er da hensiktsmessig å utarbeide kompetanseplaner for digital sikkerhet som sees i sammenheng med virksomhetens generelle kompetanseplan.

    Opplæringsplaner er nyttige verktøy for å sikre at kompetanseplanens målsetninger oppnås. Virksomheten kan ha felles opplæringsplaner for flere områder. Når man utformer en egen opplæringsplan for digital sikkerhet, bør denne sees i sammenheng med den generelle opplæringsplanen. Dermed kan man unngå overlappende aktiviteter eller at ulik opplæring for samme personer legges til samme tidspunkt.

    I hvilken grad kompetanse- og opplæringsplaner blir individuelt tilpasset er et spørsmål om kost/nytte. Individuelt tilpassede planer vil normalt kreve en kartlegging av stillinger og funksjoners behov, og individuelle og gruppers kompetansestatus og behov. Dette kan være et krevende arbeid, men kan også bidra til at opplæringstiltak rettes mot riktige målgrupper og individer.

    Kompetanse- og opplæringsplaner innen digital sikkerhet bør være en del av virksomhetens internkontrollarbeid. Slik sikrer man at kompetansebehov vurderes samlet, og at opplæringsaktiviteter sees i sammenheng med øvrige aktiviteter. For mer informasjon om internkontroll, se Digitaliseringsdirektoratets veiledningsmateriale «Internkontroll i praksis - informasjonssikkerhet».

    Kompetanse- og opplæringsplaner på ulike nivåer må ses i sammenheng
    Figur 3: Figuren viser hvordan virksomheten kan ha kompetanse- og opplæringsplaner på ulike nivåer som må sees i sammenheng, og som henger sammen med virksomhetens internkontroll.

    Tips:

    • Husk at opplæring må gjøres jevnlig. Kunnskap er ferskvare, og ansatte kommer og går.

    Måle effekt

    Når man jobber med digital sikkerhetskompetanse og -kultur er det viktig å kunne se om tiltakene som iverksettes har ønsket effekt. Man bør derfor ha målbare kriterier som kan gi nok informasjon til å vurdere om ønsket effekt er oppnådd.

    I Digitaliseringsdirektoratets «Veileder for kartlegging av digital sikkerhetskultur», anbefales det å måle tilstanden før og etter at man setter i gang tiltak. En måling som gjøres før opplæring gjennomføres kalles gjerne en nullpunktsmåling, eller baseline på engelsk. Kun ved å måle både før og etter ser man om opplæringstiltaket har hatt effekt. Ved måling av effekt over tid, er det sentralt å gjennomføre målingen på tilnærmet samme måte slik at grunnlaget blir sammenliknbart. Dette betyr for eksempel at spørsmål som stilles i et spørreskjema ikke kan endres hvis svarene skal sammenlignes over tid.

    Det er lettere å måle konkrete hendelser, f.eks. deltagelse i opplæringstiltak, fremfor bevissthet, holdninger og adferd. Samtidig er det viktig å se på faktiske holdninger og etterlevelse – den enkeltes adferd – for å sikre at tiltaket har hatt ønsket effekt. Det ideelle er å måle resultater fremfor gjennomførte aktiviteter. Det er viktig å vurdere både kvantitative og kvalitative målinger, da disse kan gi ulik informasjon.

    Måling kan gjøres på flere måter, for eksempel:

    • spørreundersøkelse blant ansatte
    • antall rapporterte sikkerhetshendelser
    • statistiske opplysninger fra bruk av IT-systemer
    • fysiske undersøkelser, f.eks. av adgangskontroll og låsing av pc

    Ved valg av måleparametere er det lurt å se på hva som finnes fra før, siden det er ressursbesparende å benytte seg av eksisterende data. Ofte eksisterer det allerede tall som kan benyttes.

    Hva man velger å måle vil være avhengig av hva man ønsker å oppnå med opplæringen. Dersom man ønsker å få ned antall hendelser innen et gitt område, kan for eksempel statistikk over antall hendelser være en måte å måle på. Dersom man ønsker å forbedre sikkerhetskulturen, for eksempel gjennom holdningsendring, kan det være mer hensiktsmessig å gjennomføre en kartlegging av sikkerhetskulturen ved hjelp av anonyme spørreundersøkelser.

    Måling er en viktig brikke i virksomhetens internkontroll. For mer informasjon, se omtalen av måling i Digitaliseringsdirektoratets veileder «Internkontroll i praksis - informasjonssikkerhet».

    Tips:

    • Et godt avvikshåndteringssystem kan gi verdifulle opplysninger om antall avvik, hvilke områder man bør se nærmere på etc. Men husk at antall innmeldte avvik ikke i seg selv nødvendigvis gir god nok informasjon om tiltak har hatt ønsket effekt.
    • Hvis du måler folks adferd, er det viktig å bruke informasjonen forsiktig. Bruk helst statistiske opplysninger når du kommuniserer resultatene. Og pass på at ingen føler seg hengt ut.
    • Vær oppmerksom på hvordan du utformer spørsmål. Vi har en tendens til å svare det vi tror er forventet eller ønsket svar.

    Etablere forvaltningsregime for kompetanse- og opplæringstiltak

    Det er nødvendig å ha en plan for håndtering av kompetanseplaner og opplæringstiltak i fremtiden. Et forvaltningsregime definerer hvordan de ulike kompetanseplanene og opplæringstiltakene i virksomheten forvaltes: hvordan de brukes, oppdateres og utfases.

    Kompetanseplaner er et arbeidsverktøy som kontinuerlig skal være i samsvar med virksomhetenes praksis. Det er derfor viktig å ha avklart hvem som oppdaterer planene ved behov.

    De konkrete opplæringstiltakene vil også kreve oppdatering og videreutvikling. Det kan være behov for oppdatering av ulike årsaker, for eksempel at det innføres nye krav, policyer og retningslinjer oppdateres, eller organisasjonen endres. I tillegg vil materiale ikke oppnå samme effekt i lengden dersom mange har sett det før, og det kan derfor være nødvendig å oppdatere materiale eller vente en stund før materialet benyttes igjen. Ved å ha etablert et forvaltningsregime sikrer man at tiltakene til enhver tid er oppdaterte, relevante og brukes på riktig måte.

    Tips:

    Vær tydelig på hvem som har ansvar for å forvalte et opplæringstiltak og opplæringsplan(er).

    Faktorer som påvirker digital sikkerhetskultur

    Norsk senter for informasjonssikring (NorSIS) har utviklet en metode for å beskrive og kartlegge den digitale sikkerhetskulturen i en virksomhet. I denne metoden deles digital sikkerhetskultur inn i følgende områder:

    • Holdninger til digitalisering og digital sikkerhet
    • Risiko-oppfattelse
    • Synet på styring og kontroll
    • Sikkerhetsatferd
    • Kunnskap, læring og interesse

    Nedenfor får du tips om hvordan du kan arbeide med de ulike områdene.

    Digital sikkerhetskultur
    Figur 4: Digital sikkerhetskultur.
    NorSIS

    Holdninger til digitalisering og digital sikkerhet

    De ansattes holdning til digitalisering og digital sikkerhet er en faktor som både kan bidra til å beskrive kulturen i organisasjonen, og en faktor som kan bidra til å påvirke bruken av digitale tjenester i positiv eller negativ retning.

    Virksomheten bør kartlegge den digitale sikkerhetskulturen for å avdekke hvilke holdninger og normer som er fremtredende i organisasjonen.

    Tips til hvordan virksomheten kan jobbe med holdninger til digitalisering og digital sikkerhet:

    Ledelsen bør

    • beslutte hvilke skrevne og uskrevne normer de ønsker i virksomheten, hvordan de skal kommunisere disse og gå foran med et godt eksempel.
    • kommunisere til organisasjonen hvordan virksomhetens verdier og visjon påvirker den digitale sikkerhetskulturen.
    • kommunisere til organisasjonen hvordan alt henger sammen innen digital sikkerhet, og at det den enkelte gjør innen sikkerhet har betydning for sikkerheten til virksomheten og til fellesskapet.
    • kommunisere til organisasjonen hva virksomheten gjør innen digitalisering og digital sikkerhet og hvorfor dette er viktig for virksomhetens oppdrag.
    • kommunisere til organisasjonen verdien av digitalisering for den enkelte, for virksomheten og for samfunnet, og hvorfor det er viktig å beskytte denne mot digitale risiko.

    Noen kulturer er mer individualistiske, det vil si at de setter individet mer i fokus, mens andre kulturer er mer orientert mot fellesskapets behov. I konteksten digital sikkerhetskultur, kan det bety at enkelte velger å følge regler som ivaretar sikkerheten til virksomheten som helhet, selv om de kan virke hemmende på noen. Et annet eksempel kan være at den enkelte velger å stå frem når de har gjort en sikkerhetstabbe slik at fellesskapet kan kunne lære av det, selv om det er belastende for den det gjelder.

    Arbeid med digital sikkerhetskultur omhandler derfor hvordan den ansatte forholder seg til fellesskapet. Virksomheten bør ha tanker om hva det digitale fellesskapet skal være. Dette uttrykkes gjerne ved å definere hvilke felles normer og adferdsmønstre en ønsker at organisasjonen skal ha innen digital sikkerhet. En del av dette handler om hvilket ansvar virksomheten ønsker at den ansatte skal ta for den digitale sikkerheten til fellesskapet han eller hun er en del av.

    Digital sikkerhetskultur handler også om den enkeltes optimisme for teknologi og digitalisering. Holdningene til digitalisering og digitale tjenester påvirker måten man forholder seg til teknologi. Mistillit til digitale tjenester eller frykt for sikkerhetshendelser og datakriminalitet er noen av utfordringene som virksomhetene må forholde seg til. Hvordan digitale tjenester utvikles og tilbys, hvordan sikkerheten ivaretas, hvilke sikkerhetshendelser som skjer og hvordan de blir håndtert, vil påvirke holdningene til det digitale.

    Risiko-oppfattelse

    Gjennom å kartlegge hvordan de ansatte forholder seg til risiko, kan virksomheten få kunnskap om hvilke tiltak de bør sette inn for å sørge for at de ansatte har en oppfattelse av risiko som samsvarer med de faktiske forhold.

    Virksomheten bør arbeide for at hele organisasjonen har en lik oppfatning av risiko, for å unngå at enkelte vurderer noe som ubetydelig, mens andre vurderer det samme som svært risikofylt.

    Tips til hvordan virksomheten kan jobbe med de ansattes risiko-oppfattelse:

    Ledelsen bør:

    • kommunisere til organisasjonen fakta omkring sikkerhetshendelser som rammer virksomheten, andre relevante virksomheter eller samfunnet for øvrig.
    • kommunisere til organisasjonen hva som gjøres for å beskytte virksomheten, de ansatte og brukere av virksomhetens tjenester, mot digital risiko.
    • kommunisere til organisasjonen hvordan de skal gjøre risikovurderinger og fortløpende tolke risikosituasjonen.
    • sørge for at organisasjonen har kunnskap, metodikk og verktøy for å vurdere og håndtere den risiko de er ansvarlig for, og den risiko de må vurdere i det daglige.

    Man kan finne mer informasjon om etablering av føringer knyttet til hvordan de ansatte skal forstå, vurdere og håndtere risiko i Digitaliseringsdirektoratets veileder «Internkontroll i praksis – informasjonssikkerhet».

    Digitalisering er i henhold til regjeringens "Digitaliseringsstrategi for offentlig sektor 2019-2025" en ønsket utvikling, men for ansatte i virksomheten og for brukerne av offentlige tjenester kan det imidlertid oppstå visse dilemma. Folk blir ikke bare oppfordret til å ta i bruk teknologi, de blir i noen tilfeller tvunget til det. Ansatte kan i liten grad påvirke hvilke digitale systemer som innføres på jobb, og befolkningen for øvrig blir i stor grad tvunget til å forholde seg til digitaliseringen av offentlige tjenester. Stadig mer av kommunikasjonen med det offentlige skjer på digitale flater, og muligheten til å utføre samme tjeneste «analogt» bortfaller. De ansatte må forholde seg til digitale administrative systemer for føring av timer og reiser, for at man skal kunne få lønn. Fagsystemer og kontrollsystemer blir primære verktøy for at de ansatte skal kunne gjøre den jobben som tidligere ble utført manuelt.

    Digitaliseringen i samfunnet er avhengig av tillit. Når virksomhetene digitaliseres forutsettes det tilstrekkelig tillit fra de ansatte og fra publikum. Først og fremst må tjenestene være sikre. Man vil kanskje ikke tolerere mange sikkerhetshendelser før man vil unngå å bruke de digitale tjenestene, og i verste fall miste tilliten til de som leverer dem.

    Kompetanse, erfaring og risiko-oppfattelse er knyttet til hverandre. For å kunne mene noe om risiko, kreves det at vi har noen kunnskaper om hva som kan gå galt. Ondsinnede vedlegg eller lenker i e-post er en av de mest vanlige måtene de kriminelle angriper virksomheter i Norge. De ansatte må ha kunnskap om at dette er mulig, før de kan forstå at det er en risiko. Det er imidlertid ikke nok å bare vite at det går an, en må også vite noe om hvor ofte slike ting skjer og hva som kjennetegner en utrygg e-post. Til slutt må de ha en oppfatning om konsekvensene, både for dem selv og for virksomheten, og hvordan de skal reagere dersom de mistenker noe unormalt.

    Dette er imidlertid ikke nok til å kunne forstå hvordan den enkelte oppfatter risikoen, og som en følge av det anta at han eller hun vil justerer sin adferd. Risiko-oppfattelse er ikke bare kalkulasjon av fakta, det har også mange subjektive faktorer. Har man vært utsatt for en liknende sikkerhetshendelse før, så er man kanskje mer forsiktig nå. Kanskje man som person er veldig forsiktig av seg, eller kanskje man er en «spenningssøker» som tenker at det meste går bra? Eller at man tenker «det skjer ikke med meg». Føler den ansatte at han mestrer digital sikkerhet, eller er han preget av usikkerhet og frykt for å gjøre feil?

    Synet på styring og kontroll

    Styring og kontroll er ledelsens redskap for å styre risiko, og det er også nødvendig på området digital sikkerhet. En del av dette arbeidet er å sørge for klare og tydelige føringer, og kontrollere at disse etterleves.

    Virksomheten bør kartlegge den digitale sikkerhetskulturen for å undersøke om organisasjonen kjenner og følger føringene. Slik får man et bilde av hvordan menneskene i virksomheten opplever styring og kontroll.

    Tips til hvordan virksomheten kan jobbe med styring og kontroll, i konteksten av digital sikkerhetskultur:

    Ledelsen bør:

    • legge føringer (for eksempel regler og retningslinjer) som er forståelige og mulige for menneskene i organisasjonen å følge.
    • igangsette tiltak for å øke organisasjonens motivasjon til å sette seg inn i føringene, og å følge disse. Sanksjoner og incentiver bør velges med omhu, og effekten av dem bør kartlegges og evalueres.
    • etablere varslingsordninger slik at organisasjonen kan varsle om hendelser og andre sikkerhetsrelaterte forhold. Det bør vurderes om ordningen skal legge til rette for anonym varsling.
    • kommunisere til organisasjonen hvordan digital sikkerhet styres, hvem som setter føringene, hva som er den enkeltes ansvar, hvor den enkelte kan finne informasjon etc.
    • kommunisere relevante føringer til organisasjonen ved tilsettinger, når reglene endres eller når endringer i risikobildet tilsier at føringene bør kommuniseres på ny.

    Man kan finne mer informasjon om ledelsens arbeid med å sette og følge opp føringer i Digitaliseringsdirektoratets veileder «Internkontroll i praksis – informasjonssikkerhet».

    I denne sammenhengen fokuserer man på hvordan menneskene i virksomheten ser på styring og kontroll i en organisasjon der bruk av digitale tjenester og enheter står sentralt. Hvem skal trekke opp linjene for hva som er akseptabel bruk av IKT og digitale tjenester, hvor skal linjene trekkes opp og hvordan skal den enkelte rette seg etter disse? Et aktuelt spørsmål her er synet på overvåking, altså hvordan fellesskapet skal kontrollere om medlemmene i gruppen føyer seg etter de reglene som er bestemt.

    Ved å se på dette området ser man også på spørsmål om hvem som skal være ansvarlig for vår trygghet på nett. Hvilke oppgaver forventes det at virksomheten eller myndighetene skal løse, og hva forventes det av den enkelte når det kommer til deres egen sikkerhetsadferd? I diskusjonen omkring sikkerhet, er det alltid et spørsmål om å balansere den enkeltes frihet med vår felles trygghet. «Alle» vil ha frihet, og samtidig vil «alle» være trygge. Hvordan arter denne balansen seg i den digitale sikkerhetskulturen? Hvor mye overvåking, styring og kontroll er akseptabelt når både fellesskapets og den enkeltes sikkerhet og trygghet står på spill?

    Sikkerhetsadferd

    Virksomhetens ledelse er en premissgiver for sikkerhetsadferden i organisasjonen. Primært handler det om at ledelsen må kommunisere hvilke forventninger de har til de ansatte, gå foran som gode forbilder og reagere på uønskede normer.

    Å kartlegge adferdsmønstre som en del av en digital sikkerhetskultur innebærer å undersøke hva adferdsmønstrene er, både for å lære mer om hva de ansatte faktisk gjør i ulike situasjoner, og for å kontrollere om organisasjonen som helhet følger reglene og rådene som blir gitt.

    Ved å kartlegge den digitale sikkerhetskulturen kan virksomheten avdekke adferdsmønstre i organisasjonen, og vurdere effekten av opplæring og holdningskampanjer.

    Tips til hvordan virksomheten kan jobbe med sikkerhetsadferd:

    Ledelsen bør:

    • fastsette adferdsnormer, basert på hvilken adferd som er ønskelig, og gå foran med et godt eksempel.
    • innføre tiltak som motiverer organisasjonen til å etablere ønskede adferdsnormer.
    • innføre kompetanseheving basert på hva som er ønskede adferdsnormer.
    • fokusere på den enkeltes mestringsfølelse, ikke bare nødvendig kunnskap.
    • fokusere på at adferdsnormene må være mulig å gjennomføre for menneskene i organisasjonen. Det bør tas hensyn til at menneskene på ulike arbeidsplasser har ulik kompetansebakgrunn og -sammensetting.
    • legge til rette for at organisasjonen kan gjennomføre øving og trening innen digital sikkerhet. Dette bør tilrettelegges for den enkelte, for team og hele organisasjonen.

    Mange virksomheter gjennomfører en sikkerhetssamtale med nyansatte, og ledelsen kan benytte dette møtet til å formidle hvilke forventninger de har til de ansatte. Ledelsen kan da formidle hvilke sikkerhetsmål de ønsker å nå eller hvordan de ønsker at de ansatte skal opptre. Dette bidrar til å skape ønskede normer og til å påvirke sikkerhetskulturen i ønsket retning.

    Det er også andre som påvirker organisasjonens sikkerhetsadferd. Personer i organisasjonen som blir lyttet til i spørsmål om digital sikkerhet, vil selvsagt påvirke normene. Å identifisere hvem disse personene er, og gi dem ekstra kunnskap om hva virksomheten ønsker kan være en positiv driver i arbeidet med sikkerhetskultur.

    Også personer og aktører utenfor organisasjonen vil kunne påvirke den interne sikkerhetskulturen. Eksperter som uttaler seg i media, uttalelser fra nasjonale sikkerhetsmyndigheter eller medieoppslag om hendelser som skjer vil alle kunne føre til adferdsmønstre i organisasjonen.

    Innen digital sikkerhet er det visse typer adferd som en oppfordrer til, mens en advarer mot andre. I sum kan vi se på dette som adferdsmønstre som virksomheten bør følge med på for å kunne avdekke behov for å gjøre noe med noen av adferdstrekkene. Teknologien og hvordan vi bruker denne er hele tiden i endring. Det betyr at det hele tiden er behov for å oppdatere sikkerhetsopplæringen. Det man lærte for 10 år siden, kan nå være direkte feil.

    De ansatte blir pålagt å følge en rekke sikkerhetsbestemmelser. Det kan handle om at de ikke skal dele passordet sitt med andre eller å vurdere om e-post man mottar kan være ondsinnet. Dette er en del av dagens normative beskrivelse av hva sikker digital adferd er, og man oppfordrer til dette for blant annet å redusere faren for datakriminalitet, for tap av informasjon og for at man skal bli utsatt for manipulering.

    Kunnskap, læring og interesse

    Svært mye av hverdagen til de ansatte handler om å forholde seg til IKT og digitale tjenester. Alle ansatte må ha et sett med grunnleggende digitale kunnskaper for at de skal kunne ta del i arbeidslivet. Spørsmålet er: Hvor og hvordan får de denne kunnskapen? Noen virksomheter gir sine ansatte opplæring, men mange blir overlatt til å lære dette på egenhånd og på uformelle arenaer.

    Virksomheter som skal arbeide med digital sikkerhetskultur bør derfor kartlegge hvordan deres ansatte lærer om digital sikkerhet. Kanskje har virksomheten en struktur og prosess der opplæring på arbeidsplassen primært skjer ved at folk lærer opp hverandre? Kanskje er arbeidet av en slik natur at det ikke er aktuelt å samle alle ansatte til klasseromsundervisning? Kanskje noen metoder for opplæring virker bedre enn andre?

    Virksomhetene kan undersøke dette, og velge en metode for opplæring som «virker best» for sine ansatte, og samtidig sørge for at det som læres er korrekt, og ikke basert på utdatert kunnskap eller misforståelser.

    Virksomheten bør kartlegge kunnskapen i organisasjonen og hvordan læringsprosessene skjer, for å kunne evaluere effekten av kunnskapsheving.

    Tips til hvordan virksomheten kan jobbe med kunnskap, læring og interesse:

    Ledelsen bør:

    • beslutte hva det er behov for at organisasjonen kan om digital sikkerhet, og utarbeide kompetanseplaner og opplæringsplaner.
    • sørge for at alle får et felles kunnskapsgrunnlag ved ansettelse.
    • sørge for jevnlig kunnskapsheving når noe skjer, basert på sikkerhetshendelser, ved omorganiseringer eller ved innføring av nye digitale systemer.
    • stimulere til læringsprosesser som er effektive og som passer virksomheten (For eksempel e-læring, klasseromsundervisning eller foredrag).

    I alle kulturer blir noen mennesker lyttet mer til enn andre. Enten det er ledere eller eksperter på sine områder; noen får mer taletid, og gjennom det større mulighet til å påvirke oss andre. Disse menneskene har stor påvirkning på hvordan normene dannes og hvordan kulturen endres. De man beundrer og lytter til påvirker fellesskapets verdier og holdninger. Gjennom dette påvirker de hvordan man forholder seg til andre mennesker og hvilken adferdsmønstre som etableres.

    Dette spiller en stor rolle, for hva som ansees for å være “riktig kunnskap” endres over tid, og de som det lyttes til får mulighet til å sette agendaen og definere hva som er rett og galt. Hvordan, og av hvem, man lærer kan derfor få stor innvirkning på hva man faktisk lærer, og dermed hvor godt rustet man er til å motvirke digitale trusler.

    I et samfunn som blir stadig mer digitalisert, er det grunn til å tro at de som har interesse for teknologi og IT har en fordel i forhold til de som ikke har slike interesser. Interesser former våre holdninger, ferdigheter og kunnskaper. Interesse påvirker også hvem vi vil assosiere oss med, hvem vi lytter til og dermed hvem vi lærer fra. Med interesse følger det bevissthet, nysgjerrighet og tid. Dette er hjørnesteiner i all læring. Som en følge av dette er det grunn til å anta de som har slike interesser lærer raskere og «riktigere» enn de som ikke har det.

    Relatert innhold

    Bakgrunnsinformasjon for kompetanse- og kulturutvikling innen digital sikkerhet
    Begreper for kompetanse- og kulturutvikling innen digital sikkerhet

    Send oss gjerne en e-post om du har spørsmål eller tilbakemeldinger

    Kompetansemiljø for informasjonssikkerhet