Dette handler om hvordan de ansatte håndterer, oppfatter og forstår informasjonssikkerhet – virksomhetens sikkerhetskultur. Dette inkluderer de skrevne og de uskrevne reglene i virksomheten. I praksis kan det være alt fra de ansattes passordhåndtering, deling av informasjon, bruk av nettverk og å sette seg inn i, forstå og utføre virksomhetens sikkerhetsrutiner.
En fellesnevner for angrepene som har vært, er at sårbarhetene som utnyttes for å bryte seg inn i virksomhetens systemer er knyttet til den enkelte ansatte. Enten at en tilfeldig ansatt har et svakt passord, en PC som brukes på et hjemmekontor ikke er oppdatert, eller en ansatt ikke melder i fra om noe er unormalt. Alt dette er påvirket av adferd og holdninger – sikkerhetskulturen. Når man ser at dette blir utnyttet som en sårbarhet, er det beste forebyggende tiltaket nettopp å ha en god sikkerhetskultur.
Norsk senter for informasjonssikring – NorSIS har i samarbeid med Digitaliseringsdirektoratet (Digdir) nylig utarbeidet to veiledere om sikkerhetskultur. Den ene veilederen handler om hva sikkerhetskultur er, og hvordan ledelsen/lederen kan og bør jobbe med dette. Den andre veilederen angir metoden for å kartlegge sikkerhetskulturen i en virksomhet.
Veileder for kartlegging av digital sikkerhetskultur >>
Metoden som er beskrevet i denne veilederen er basert på NorSIS sin metode for å måle sikkerhetskulturen i befolkningen. Den beskriver metoden for kartlegging av digital sikkerhet og hvordan metoden kan tas i bruk av den enkelte virksomhet.
Veileder i kompetanse- og kulturutvikling innen digital sikkerhet >>
Denne veilederen omhandler arbeid med utvikling av kompetanse og kultur knyttet til digital sikkerhet. Materialet er utviklet for de som arbeider med digital sikkerhet eller som er leder i offentlig forvaltning, uavhengig av tidligere erfaring. Veilederen er utformet slik at også de som er nye innen fagfeltet digital sikkerhetskompetanse og digital sikkerhetskultur skal kunne nyttiggjøre seg av innholdet. Hoveddelen av veilederen beskriver hvordan man kan arbeide helhetlig med digital sikkerhetskompetanse og -kultur ved å kartlegge behov, velge tiltak tilpasset målgruppe, måle effekt og tenke helhetlig. Den går også nærmere inn på hvordan man kan jobbe med ulike faktorer som påvirker digital sikkerhetskultur.
Kilde: NorSIS/Digdir