Trots att organisationer och verksamheter implementerar tekniska åtgärder av hög kvalitet är det fortsatt den mänskliga faktorn som spelar en betydande roll vad gäller både incidenter och intrång kopplade till informationssäkerhet[1]. Det finns ingen direkt vetenskaplig definition av begreppet ”den mänskliga faktorn” men den används ofta i negativ bemärkelse vid en inträffad incident för att belysa en individs roll och inverkan på det inträffade. För mig är det viktigt att inte (endast) se medarbetaren som en riskfaktor utan som en viktig resurs i informationssäkerhetsarbetet. En arbetsplatskultur som ser sina medarbetare enbart som en informationssäkerhetsrisk riskerar inte bara att skapa en skuldbeläggande kultur utan också en arbetsplats där exempelvis incidenter inte rapporteras av medarbetare på grund av rädsla för att utsättas för repressalier.
Vi jurister tenderar ofta att fokusera på bakomliggande regelverk och konsekvenser av att regelverk inte följs in i minsta detalj. Vi vill uppdatera våra interna regelverk och göra dem compliant med externa krav. Självklart jättebra. Men om vi backar tillbaka till den mänskliga faktorn så låt mig slå ett slag för utbildning! Vi kan skriva fantastiska policys helt efter regelboken, men om inte medarbetarna förstår dess innebörd på riktigt eller vad konsekvenserna kan bli om de själva brister i efterlevnaden blir styrdokumenten mer utav ett spel för gallerierna.
Vår digitala miljö är som ett ständigt ösregn av skadlig kod, ingreppsförsök och manipulation. Ett av de vanligaste ”anfallen” är s.k. phishing där mottagaren via e-post uppmanas att klicka på en länk eller öppna ett dokument i syfte att bedragaren ska kunna infektera enheten med skadlig kod eller nå behörigheter denne inte har rätt till. Utbildning och ”träning” på reella situationer är ett väldigt effektivt tillvägagångssätt för att undvika misstag inom organisationen och göra den anställde mer medveten om vilka potentiella hot som finns.
Inarbetade vanor kan göra att vi lättare ser bortom de säkerhetsåtgärder som finns. Faktum är att information som kanske inte är särskilt skyddsvärd för dig kan bli extremt känslig tillsammans med annan data, både för dig och för någon annan. Utbildning inom informationssäkerhet behöver därför anpassa sitt budskap efter varje medarbetares arbetsuppgifter och förutsättningar. Utbildning och kunskap är, i den här kontexten, makt och skapar trygga medarbetare. Medarbetare behöver förstå att informationsklassning och behörighetsskyddade dokument är lika viktigt som att larma arbetslokalen innan hemgång för att undvika att obehöriga personer ges tillträde. Genom kontinuerlig och anpassad utbildning kan vi göra informationssäkerhet till en del av medarbetarnas vardag och inte ett nödvändigt ont.
Hur ser medvetenheten kring informationssäkerhet ut i din organisation? På ArkivIT är vi experter inom informationssäkerhet och utbildning och hjälper Er gärna med en skräddarsydd lösning. Läs mer om detta under stöd för förbättrad informationssäkerhet.
Frida Sjökvist är konsult inom dataskydd och informationssäkerhet på ArkivIT. Hon är utbildad jurist och har åtta års erfarenhet av kvalificerat juridiskt arbete, bland annat inom dataskydd och informationssäkerhet, i både offentlig och privat sektor. Innan Frida började som konsult på ArkivIT var hon verksam i finanssektorn där hon arbetade som dataskyddsombud och IKT-funktion. Frida är en uppskattad och väl anlitad föreläsare inom olika rättsområden och har hållit i utbildningar för både universitet och privata verksamheter.
[1] https://www.verizon.com/business/en-sg/resources/reports/dbir/2022/summary-of-findings.
