Säkerhetskultur

Informationssäkerhet , Nyhet , Systematiskt säkerhetsarbete , Verksamhetsskydd
fredag 9 juni 2023

Säkerhetskultur – en vital förutsättning för att skapa ett heltäckande säkerhetsskydd eller verksamhetsskydd

Försommarvärmen är äntligen här och sommaren med semester väntar runt hörnet. En hektisk tid – kantad av hög inflation, krig i Europa och återkommande it-attacker mot svenska myndigheter och företag – lider mot en efterlängtad tid för välförtjänt återhämtning och lugn.

Det är lätt att tänka att din verksamhet har gjort alla de förväntade prioriteringarna utefter givna förutsättningar för att möta dagens behov av säkerhet. Ni har säkert stärkt er egen informationssäkerhet genom att bli ISO-certifierade och till följd av det så har ett bibliotek av styrande dokument och policys blivit distribuerade i verksamheten. Genom det så har alla medarbetare – likt robotar – tagit till sig av alla styrningar och därmed så är ni motståndskraftiga mot antagonistiska (aktörsdrivna) hot likt riktat nätfiske (spear phishing) vilket minimerar risken för att bli utsatt för gisslanattacker (ransomware). Men räcker verkligen det?

Vad är säkerhetskultur egentligen?

En fungerande säkerhetskultur kännetecknas initialt av att alla och envar inom verksamheten har kunskap om aktuell hotbild och vad som förväntas av dem, för att verksamheten som helhet ska uppnå satta skyddsåtgärder. Det behöver dessutom övergå till direkta beteenden där medarbetarna i praktiken följer de bestämmelser som är satta. Avslutningsvis, när en avvikelse uppträder, prata direkt med den som ej följer satt bestämmelse eller rapportera enligt den systematik som är satt för just den avvikelsen för att den ska vara känd överhuvudtaget. Det möjliggör att verksamheten kan agera för att minska risken för skada. På så sätt kan ni fortsatt bibehålla det heltäckande skyddet.

Den brittiska myndigheten National Protective Security Authority ger ett mycket gott exempel på detta genom informationsfilmen från februari 2023 med titeln It´s OK To Say, där Say är en förkortning av:

Spot the signs
Alert someone
Your actions matter.

För att en medarbetare ska kunna känna sig manad och trygg att tala med den som avviker från bestämmelserna eller att rapportera – Alert someone – är att det görs med förtroende för att dennes personliga integritet kan upprätthållas och inga repressalier kan följa av detta. Det skapas av en ödmjuk och ömsesidig respekt för skyddsåtgärderna och av chefer samt befattningshavare inom säkerhetsfunktionen som agerar professionellt. Alla inblandade känner en tillfredställelse av att deras agerande har betydelse – Your actions matter.

Generalister och samordning maximerar effekten

Ett vanligt snedsteg på vägen till att skapa en fungerande säkerhetskultur är ett arbetssätt där verksamhetens olika funktioner arbetar i stuprörstänk utan att kunna fånga upp sina beroenden till andra funktioner. Det leder till outnyttjad samordning med i slutändan låg effekt av egna resurser och budget. Inom säkerhetsfunktionen kan det synas genom att de befattningar som bemannas högst upp i säkerhetsstupröret tillsätts av en ren specialist som har djup kunskap om just sitt område men med låg förmåga att se större helheter eller väga in eget ansvarsområde med andras.

Genom att tillsätta generalister på toppen skapas större möjlighet för att få säkerhet på agendan och genom plattformar (ledningsgrupper eller staber) med andra funktioner (stuprör) få ett bättre nyttjande av resurser och förståelse för varför säkerhetsfrågorna behöver behandlas men även en större träffsäkerhet i hur de nås ut i organisationen.

Allt detta är aktuellt både vad gäller säkerhetsskydd som avser nationell säkerhet (Sveriges säkerhet) som ska följa Säkerhetsskyddslagen (2018:585) och de som inte omfattas av nationell säkerhet men möter antagonistiska hot mot sina skyddsvärden – vilket benämns verksamhetsskydd. Båda delas in i områdena informationssäkerhet, fysisk säkerhet och personalsäkerhet. Skyddsåtgärder inom den sistnämnda säkerställer att personal som tilldelas behörighet till era skyddsvärden är att anses som pålitliga ur säkerhetssynpunkt och har tillräcklig kunskap om säkerhetsskydd eller verksamhetsskydd (inom alla de tre nämnda områdena).

Sammanfattningsvis är en fungerande säkerhetskultur den mest vitala förutsättningen för att det överhuvudtaget ska hålla.

Passar på att önska dig en trevlig och säker sommar!

Författare

Alfred Stark
Säkerhetsskyddskonsult
0735457093
alfred.stark@basalt.se

Kontakta oss

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Säkerhetskultur

Säkerhetskultur – en vital förutsättning för att skapa ett heltäckande säkerhetsskydd eller verksamhetsskydd

Vad är säkerhetskultur egentligen?

Generalister och samordning maximerar effekten

Författare

More news