Satsning på visionsstyrd säkerhet

Många organisationer har en säkerhetskultur som kännetecknas av en dragkamp mellan IT-avdelningen och användarna. För många användare är IT-säkerhet synonymt med begränsningar, hinder och frustration. Säkerhet upplevs som något som gör oss mindre produktiva och innovativa.

För den som jobbar med IT-säkerhet blir det en ständig uppförsbacke med användare som inte förstår sitt eget bästa. Här är det lätt att hamna i en loop där användarna tycker att det är trångt och spjärnar mot väggarna bäst det går, vilket får IT-avdelningen att svara med att skruva åt regelverket ännu hårdare.

Vilket är målet med säkerhetsarbetet?

Tillämpningen av IT-säkerhet i en organisation kommer se olika ut beroende vilken bild IT-avdelningen har av sitt uppdrag. Är målet att minimera säkerhetshot och intrång, eller att tillhandahålla en säker miljö som möjliggör en snabb innovationstakt? Om de som jobbar med säkerhet inte har reflekterat kring sitt varför kan det svårt att kommunicera nyttan med det man gör på ett sätt som faller i god jord hos mottagaren.

Nu när vi kliver in i det nya normala har vi ett utmärkt tillfälle att gruppera om och att låta de som arbetar med IT-säkerhet få en rådgivande och möjliggörande roll. Jag brukar beskriva det som att IT-avdelningens uppgift är att tillhandahålla en väg där verksamheten kan springa så fort de kan så länge de håller sig på rätt sida viltstängslet.

Skapa en värld som människor vill leva i

Idag finns det lösningar som bidrar till en säker miljö utan att skapa hinder för användaren. Som exempelvis snabb och smidig inloggning genom att bekräfta sin identitet med ansiktet eller fingeravtryck. Det går också att automatisera processer som lyfter ansvaret från användaren, som exempelvis att säkerställa att alla deltagare lämnar ett Teams-möte när det är slut.

Om vi har en god förmåga att upptäcka cyberangrepp och identifiera misstänkta beteenden behöver vi inte låsa ner medarbetarnas datorer lika hårt. Då kan användarna få rättigheter som är en bra matchning för deras respektive roller och en friare upplevelse, så länge de kan intyga att de är den de utger sig för att vara. Upplevelsen av frihet lägger dessutom grunden till en gynnsam säkerhetskultur och ett gott samarbetsklimat.

Vad säkerhetsexperter kan lära sig av en Disney-drake

Som disneynörd av stora mått tänkte jag avsluta med ett inspel från filmen Raya och den sista draken som jag sett (fler än en gång) tillsammans med min dotter. I min mening är det en av de bästa Disneyfilmerna i modern tid.

I slutet av filmen ställer hjältinnan Raya en fråga till draken Sisu: ”Hur kan man lita på någon när världen är över ända?” Och Sisu svarar: ”Tänk om världen är över ända för att vi inte litar på någon?”.

Jag tänker att det finns en viktig lärdom i filmen som vi som arbetar med IT-säkerhet kan ta med oss. Även om hoten är skrämmande behöver vi lyfta blicken från det som är hemskt och arbeta med säkerhet på ett innovativt sätt som främjar verksamhetens utveckling genom att underlätta för människorna i den.

Tre tips för en kultur som främjar säkerhet

1. I en kultur som främjar god säkerhet har ledningen och IT-avdelningen en gemensam målbild för säkerhetsarbetet som är kopplad till organisationens vision och mål.
2. Skapa goda förutsättningar för att alla som jobbar i organisationen ska känna sig delaktiga och ha en upplevelse av att det de arbetar med är viktigt. Vi är mycket mer benägna att vara säkerhetsmedvetna när vi värnar om någonting som vi bryr oss om.
3. IT-avdelningen behöver göra sig relevant och marknadsföra sig som en partner och möjliggörare i organisationen. Om någon frågar varför någonting inte är möjligt, möt det inte som ett ifrågasättande utan se det som en chans till dialog. Var nyfiken på hur du kan hjälpa den som ställer frågan att nå sitt mål. Kom ihåg att ni spelar på samma lag.

Bonustips!

Varför inte börja fira framgång? Bjud på tårta och fira att ni tillsammans har motverkat 2000 cyberattacker och att medarbetarna har anmält tio misstänkta hot.