Sikkerhetskultur? Vi har folk til slikt.

Det er nå ca. en måned siden den nasjonale sikkerhetsmåneden var over. Oktober var for mange en måned preget av mye engasjement og godt arbeid for å øke bevisstheten rundt informasjonssikkerhet. Det ble hengt opp plakater, delt ut effekter, invitert til foredrag, og mer til – og slik nådde man ut til mange! Dette er viktig arbeid – alt for viktig til å stoppe etter en måned!  Etter en litt intens periode kan det imidlertid være nyttig å stoppe opp litt og tenke gjennom hvordan man best kan ta arbeidet med sikkerhetskultur videre.

Det finnes mye forskning på sikkerhetskultur, men jeg har nå lyst til å trekke fram en ny studie som er gjort av noen britiske forskere. De har gjort fem intervjuer med informasjonssikkerhetsledere i store organisasjoner som anses som langt framme når det gjelder informasjonssikkerhet. På bakgrunn av det de har hørt i intervjuene har de noen betraktninger som kanskje kan provosere noen, men samtidig kan være nyttige å tenke gjennom – så kan man jo selv vurdere i hvilken grad man synes de har rett, og i hvilken grad det de sier stemmer med norske forhold.

En av observasjonene til forskerne er at informasjonssikkerhetslederne er for frakoblet fra resten av organisasjonen. De bedriver i stor grad en-vegs kommunikasjon. Derfor vet de heller ikke om budskapet fører til endrede handlinger og økt bevissthet hos de som mottar budskapet. Flere av lederne sa at de var enige i at de ofte ble oppfattet som fjerne – og de brukte ord som “for akademiske” og “upraktiske” om andres oppfatning av dem.

Informasjonssikkerhetslederne hadde generelt liten tro på seg selv og egne egenskaper når det gjaldt å bidra til kulturendring i virksomheten. Dette gjaldt spesielt egen evne til å kommunisere med brukere på en effektiv måte. De følte at de i deres rolle som informasjonssikkerhetsledere ofte måtte håndtere oppgaver som var utenfor deres ekspertise. De ble også usikre og ukomfortable når forskerne spurte spørsmål rundt bygging av sikkerhetskultur og det å drive bevisthetsarbeide.

“The aims of the security awareness programme… The aims – it’s to change culture, it’s to make people, culture’s a bit of a soft word isn’t it, it’s to make people, it’s to make us more secure.”

Samtidig hadde de en sterk oppfatning om at informasjonssikkerhet var vanskelig å selge i organisasjonen – budskapet var upopulært. De forventet altså ikke å bli hørt, og ble da heller antagelig ikke det.

Selv om informasjonssikkerhetslederne var ukomfortable med å jobbe med bevissthetsarbeid, og ikke hadde tro på egne evner knyttet til dette, så gjorde de en god del aktiviteter på området. Mye av det høres spennende og bra ut. De gjorde helt klart en innsats for å pakke inn budskapet på en måte som var relevant og som motiverte brukere til å delta – med pizza, spill og utdeling av effekter. Informasjonssikkerhetslederne hadde to ulike roller mot brukerne:

  • Den autorative: Den informasjonssikkerhetsansvarlige var en spesialist, og ønsket å være en autoritet. De ønsket at brukerne skulle følge reglene og prinsippene de la fram.
  • Hjelperen: De hadde tro på at brukerne var kompetente og ansvarsfulle, og ville ta gode valg om de bare ble minnet om det og fikk god opplæring. De hadde en rolle i å hjelpe og støtte brukerne slik at de ble satt i stand til å ta gode valg.

Disse to rollene var imidlertid i konflikt med hverandre, og forskerne hevdet at dette kunne være forvirrende for brukerne. Når informasjonssikkerhetslederne går inn i den autorative rollen, og samtidig presenterer informasjonssikkerhetsbudskapet på den måten de gjør, så – med forskernes egne ord:

“CISOs [Chief Information Security Officers] are undermining employees by positioning themselves as the stereotypical parents, with employees as the children who need to be entertained into behaving securely with pizza and toys.”

Dette stemmer jo ikke helt med oppfatningen av brukerne som fornuftige – om de bare får riktig opplæring. Er da brukerne barn som trenger at informasjonssikkerhetslederne beskytter dem (dermed kan de ikke holdes ansvarlige for feil de måtte gjøre) eller er de likeverdige i relasjonen (og dermed deler ansvaret for å beskytte organisasjonens informasjonsverdier)?

Informasjonssikkerhetslederne var også klar over at de kanskje ikke var helt på bølgelengde med mottakerne av budskapet – de var for evangeliserende, for entusiastiske.

“We’re too close to the subject, it’s too important to us, it’s not important to anybody else”

“If you’re a security person you think that people should follow the book. People do not walk into the office though saying, I’m going to follow the security rule book today, it’s not the most exciting thing in their lives.”

Det er viktig å være bevisst på at brukerne kanskje ikke er klar over viktigheten av å beskytte informasjonen. Dette har innvirkning på hvordan budskapet bør presenteres.

Som nevnt over hadde informasjonssikkerhetslederne en oppfatning om at budskapet ikke nådde helt fram. De manglet imidlertid mål på effekten av det holdningsskapende arbeidet de gjorde.

“How has it been received by employees? Well, to be perfectly honest it’s hard to tell. I do get statistics on the usage of the site but it doesn’t mean that the message is sinking in … some folks seem to want that information … but frankly, if it was important I’d be looking at it more often than I do.”

Det opplevdes som et problem for informasjonssikkerhetslederne at de ikke klarte å vise til avkastning på arbeidet de gjør, og de følte behov å kunne evaluere effekt på andre måter.

Mellomledere blir pekt ut som en spesielt utfordrende gruppe. Disse var ikke noen spesiell målgruppe i arbeidet med sikkerhetskultur, på tross av at de ofte ble opplevd som bremser i dette arbeidet. Mellomlederne har mange agendaer og mål, og informasjonssikkerhet faller lett gjennom om ikke toppledelsen legger spesielt til rette. Å nå gjennom hos mellomledere krever at toppledelsen gjør mer enn bare å snakke om sikkerhet.

Forskerne reflekterer også rundt effekten av å ha en egen informasjonssikkerhetsfunksjon i organisasjonen. Det å ha en informasjonssikkerhetsleder gjør at toppledelsen på en grei måte oppfyller krav på dette området, og kan delegere ansvar til spesialister på informasjonssikkerhet. Samtidig gjør det at toppledelsen kan distansere seg fra informasjonssikkerhetsarbeidet. Dette innebærer også at de kan komme med unnskyldninger for å omgå sikkerhetspraksis, ved å vektlegge viktigheten av andre virksomhetsoppgaver over sikkerhet.

Som dere ser, kommer disse britiske forskerne med mange betraktninger rundt hvilke utfordringer informasjonssikkerhetsledere har knyttet til det å bygge en informasjonssikkerhetskultur. Det kan være nyttig å tenke gjennom hva som er årsakene til at arbeid med kultur er utfordrende på dette området. Kanskje finnes noen av de samme utfordringene igjen i norske virksomheter? Ved å være bevisst på årsaken til at noe er vanskelig, kan man lettere se hvordan man bør gripe problemet an.

De som nå venter på løsningen på problemet med sikkerhetskultur, blir nok imidlertid noe skuffet. Artikkelen jeg har referert til over gir få forslag, men noen klare anbefalinger er det:

  • Kommunikasjon rundt informasjonssikkerhet må i større grad være to-veis
  • De som jobber med informasjonssikkerhet må se seg selv som hjelpere – noen som tilrettelegger for at brukerne kan ta gode valg knyttet til informasjonssikkerhet – og ikke som autoriteter
  • Dette innebærer også at man må tåle og være forberedt på at det vil skje feil

 

Hele dette innlegget er basert på artikkelen “CISOs and organisational culture: Their own worst enemy” skrevet av Debi Ashenden og Angela Sasse. Computers & Security, Volume 39, Part B, November 2013, p. 396-405. Alle sitatene er fra denne artikkelen.

Tittelen på blogginnlegget er inspirert av et foredrag av Jørgen Dyrhaug fra NSM på KraftIS 2013. Han snakket blant annet om det han kalte Øystein Sunde-syndromet innen informasjonssikkerhet – at man har “folk til slikt”. Målet må de være å gå fra å ha “folk til slikt” til at informasjonssikkerhet blir “kjekt å ha”. Dette handler mye om sikkerhetskultur.