Sikkerhetskultur: har vi det eller ikke?

Først og fremst er ikke begrepet informasjonssikkerhetskultur relatert til ”liv og helse” direkte, det er nærmere knyttet til virksomhetens ”liv og helse” og de ansattes atferd for å ivareta denne. Kulturbegrepet som sådan har eksistert lenge. Forenklet kan man si at alle i en kultur deler verdier, regler og normer – en essens. Vi kan snakke om ungdomskultur, norsk kultur eller bedriftskultur. Informasjonssikkerhetskultur er mer fremmed som begrep, og hvorfor mener vi det er viktig for virksomheter å vite noe om dette?

Måling av informasjonssikkerhet har blitt mer og mer sentralt. Sikkerhetstiltak blir ansett som utgifter som direkte påvirker ”bunnlinja”. Det er derfor viktig å vite om de sikkerhetstiltak man iverksetter er riktige i forhold til kost og nytte. Det som er tilfredsstillende sikkerhetskultur for en virksomhet er ikke sikkert det for en annen.

Sikkerhetskulturen kan være OK, men det kan være andre områder som påvirker forholdene. Måling av informasjonssikkerhetskulturen vil si noe om virksomhetens ansatte, hva slags risikoforståelse de har, er de forsiktige som personer, eller tenker de for mye sikkerhet og blir lite effektive. Ved å kjenne sin organisasjon og sine ansatte kan man tilpasse tiltak og man kan vurdere effektene av tiltakene.

Dette er spørsmål det er viktig å besvare. All risiko kan man selvsagt ikke fjerne.

Det har i mange år blitt diskutert hvordan man måler informasjonssikkerhetskultur, hva er god informasjonssikkerhetskultur, hvem er best i klassen, og hvilke elementer bestemmer dette. Mange virksomheter påstår at de ikke har en informasjonssikkerhetskultur. Hva mener de egentlig, at de ikke tenker sikkerhet, eller at de burde vært bedre på sikkerhet? Og hva er egentlig en god informasjonssikkerhetskultur?

For å vite dette må man ha en norm å måle seg mot. Er man en god skiløper, er man sannsynligvis bedre enn gjennomsnittet og kan måle seg mot andre og se hvilken plassering man får i et skirenn. Alle virksomheter skal og kan ikke gå i samme ”løypa”, de har ulike rammebetingelser og deres informasjonssikkerhetskulturer vil ikke være sammenlignbare. Er konteksten lik, kan man måle seg med andre, for eksempel kommune mot kommune.

Det vil derfor være vanskelig å lage en norm som passer alle.

Det vil derfor være vanskelig å lage en norm som passer alle. En stor industribedrift og en liten enkeltmannsbedrift kan sannsynligvis ikke måle seg mot hverandre, det vil være vanskelig å se om resultatene vil være relevante for å vurdere hvem som har best informasjonssikkerhetskultur i forhold til egen virksomhet. Enkeltmannsforetaket, har det dårlig sikkerhet fordi det for eksempel ikke har et styringssystem for informasjonssikkerhet på plass? Ikke nødvendigvis.

Norsis har utviklet en metodikk for å måle informasjonssikkerhet. Ved hjelp av metoden kartla Norsis den norske informasjonssikkerhetskulturen i fjor, med hjelp av et tredvetalls virksomheter og deres ansatte. Resultater fra studien gir klare indikasjoner på at mangfoldet og bredden hos virksomhetene og deres ansatte gjør det vanskelig å lage en felles norm for hva som er god eller dårlig informasjonssikkerhetskultur.

Hvilken informasjonssikkerhetskultur som er ønsket er avhengig av virksomheten, dens ansatte og deres omgivelser. Det er viktig at virksomheten selv vet status på hvor man er og hvor man vil. Man må kjenne sin virksomhet, sine prosedyrer, prosesser og ansatte for å vite hva slags informasjonssikkerhetskultur man ønsker, men også har, i egen virksomhet.

Mennesker er komplekse og det er ikke enkelt å endre atferd.

Mennesker er komplekse og det er ikke enkelt å endre atferd. Vi er forskjellige som individer, vi har forskjellig bagasje og vi reagerer forskjellig på hendelser. En type opplæring kan virke godt i en bedrift, men virker dårlig i en annen. Man må velge opplæringsmetoder som engasjerer de ansatte, det er vanskelig å skape en indre motivasjon på individnivå. Virksomheter må derfor satse på gode rutiner og tiltak, å ha et velsmurt maskineri for å ivareta ønsket sikkerhetstilstand.

Norsis arrangerer en workshop i slutten av mai nettopp for å snakke om viktigheten av måling, hvordan få ønsket effekt ut av investerte midler og hvilke metoder som kan benyttes.

Peggy Sandbakken Heie er administrerende direktør i Norsis.