Som du säkert känner till talas det mycket just nu om vikten av att öka säkerhetsmedvetenheten, både i samhället generellt och i de flesta organisationer. Med utgångspunkt från denna trend har jag begrundat följande fråga: Vad är det vi egentligen vill åstadkomma när vi genomför utbildningar i säkerhetsmedvetenhet?
På ytan kan svaret tyckas självklart – avsikten är förstås att ”öka säkerhetsmedvetenheten” – men baserat på hur många organisationer sedan beskriver sina säkerhetsrelaterade utbildningsinsatser tillåter jag mig att tvivla på att man har tänkt över vad detta egentligen betyder.
För att närma oss själva kärnan i frågeställningen behöver vi därför först diskutera begreppet säkerhetsmedvetenhet i sig. Ofta beskrivs detta begrepp i mer eller mindre vaga termer: ”Säkerhetsmedvetenhet är ju, typ, kunskaper och attityder som medlemmar i en organisation har när det gäller säkerhet.” Inte en direkt felaktig beskrivning ur ett generellt perspektiv, men inte heller särskilt hjälpsamt.
Hur definieras ordet medvetenhet?
Kanske ligger en bidragande orsak till den otydliga definitionen av säkerhetsmedvetenhet i att ordet medvetenhet är ett relativt diffust begrepp, vanligtvis förknippat med andra semantiskt luftiga termer som förståelse och kunskap. Återigen – inget fel med det, men det ger oss inte direkt någon användbar vägledning kring vad vi borde fokusera våra utbildningsinsatser på rörande säkerhetsmedvetenhet.
I samband med detta skulle jag vilja introducera ett närliggande begrepp, som också har populariserats inom säkerhetsområdet på sistone: säkerhetskultur. Det finns flera olika sätt att se på och definiera säkerhetskultur, men begreppet kan generellt sammanfattas som de idéer, värderingar, attityder och beteenden inom en organisation som påverkar dess säkerhet. Det låter förvillande likt den likaledes vaga beskrivningen av säkerhetsmedvetenhet, eller hur? Inte konstigt att folk har en tendens att blanda ihop dessa begrepp…
Förresten, jag hoppas att ni noterade det sista ordet i definitionen av säkerhetskultur ovan – beteende? Bra, för det är viktigt, förmodligen det enskilt viktigaste ordet i hela den här texten, om jag bara fick välja ett.
Säkerhetskultur leder inte till förbättrat säkerhetsbeteende
Jag skulle också vilja passa på att reda ut något som många verkar ha fått om den berömda bakfoten: till skillnad från den allmänna uppfattningen så leder inte ett fokus på säkerhetskultur till ett förbättrat säkerhetsbeteende. I praktiken är det precis tvärtom – vi förbättrar säkerhetskulturen inom en organisation främst genom att optimera säkerhetsbeteendet. Idéer, värderingar och attityder gällande säkerhet är självklart också viktiga, men bara om de leder till förbättringar när det gäller faktiskt beteende. Annars blir ”säkerhetskultur” inget annat än ett substanslöst samlingsbegrepp för våra kollektiva – och således misslyckade – säkerhetsinsatser.
Ovanstående tes leder oss därmed direkt vidare till den naturliga följdfrågan: hur förbättrar vi i så fall säkerhetsbeteendet? Svaret är naturligtvis i hög grad kopplat till utbildning och information, men detta är inte alltid riktigt så enkelt som det ibland kan framstå.
Innan vi går in på den delen, fundera gärna lite över följande citat av Linus Torvalds (fritt översatt):
Teori och praktik kolliderar ibland. Och när det händer förlorar teorin. Varje gång.
Kloka ord, som återigen kan tyckas självklara, men som vi inte alltid efterlever i verkligheten. När vi utformar vårt säkerhetsutbildnings-program kan vi exempelvis använda enkäter och frågeformulär för att testa våra anställdas kunskaper om säkerhet, eller så kan vi använda simulerade phishingattacker för att testa våra anställdas faktiska mottaglighet när det gäller phishing. Ett annat scenario skulle kunna vara att vi använder sociala ingenjörstekniker, såsom VD-bedrägerier, vishing och tailgating för att utvärdera våra anställdas förmåga att känna igen och motstå dessa tekniker. I det första scenariot kontrollerar vi som synes i huvudsak teoretiska kunskaper, medan exemplen i det andra och tredje scenariot är mer praktiskt inriktade och fokuserade på att testa faktiskt beteende.
Optimera säkerhetsbeteendet inom organisationen
Frågan som vi alla bör ställa oss är vilka av ovanstående scenarion som är mest relevanta att lägga resurser på. De flesta av oss kanske inte behöver göra detta val – många av oss kan och bör göra samtliga – men frågan sätter ändå fokus på vikten av att utforma våra utbildningsinsatser kring säkerhetsmedvetenhet på ett sätt som leder till ett bättre säkerhetsbeteende i praktiken, inte bara till bättre teoretiska kunskaper om hur vi borde agera.
Som jag nämnde ovan gör vi tyvärr ofta olika – och mer eller mindre otydliga – tolkningar av dessa begrepp, vilket resulterar i ytterligare förvirring om hur begreppen relaterar till varandra och oklarheter kring vad vi faktiskt försöker uppnå när vi talar om att öka säkerhetsmedvetenheten. Men om vi förstår att säkerhetsmedvetenhetsutbildning i grund och botten är en sorts pedagogisk verktygslåda som vi kan utnyttja för att förbättra vårt säkerhetsbeteende – och att förbättrat säkerhetsbeteende är det som primärt påverkar vår säkerhetskultur i en positiv riktning – är vi mycket bättre rustade att fatta välgrundade beslut om var vi bör fokusera våra resurser för att få avsedd effekt.
Medvetenhet är första steget till förändring
Om vi nu går tillbaka till den ursprungliga frågan så kan vi – förhoppningsvis – vara relativt överens om att det huvudsakliga syftet med säkerhetsmedvetenhets-utbildning är att optimera säkerhetsbeteendet inom en organisation. Just därför är också en fördjupad förståelse för distinktionen mellan medvetenhet och beteende helt nödvändig, eftersom vårt sätt att särskilja och tolka dessa begrepp blir styrande för våra prioriteringar när det gäller vilka aspekter av medvetenhet och beteende som vi behöver utbilda inom, testa och övervaka.
Med en samsyn kring kontextuella begreppstolkningar är vi dessutom bättre rustade för att tolka och tillämpa resultaten från våra tester och mätningar – exempelvis resultat från simulerade phishingattacker – vilket i sin tur skapar förutsättningar för en positiv feedback-loop av kontinuerlig, faktisk förbättring.
Vi behandlar personuppgifter och använder cookies på vår webbplats i enlighet med vår integritetspolicy. Vissa cookies krävs för att ge dig åtkomst till webbplatsen, medan andra används för att uppgradera din användarupplevelse och är frivillig att acceptera. Välj nedan om du samtycker till att vi bearbetar cookies för att aktivera och analysera tillhandahållandet av funktionaliteter från tredje part (t.ex. plugins för sociala medier) och förbättra din användarupplevelse genom att analysera din användning av webbplatsen. Du kan när som helst dra tillbaka ditt samtycke.
Sekretessöversikt
Denna webbplats använder cookies för att förbättra din upplevelse när du navigerar genom webbplatsen. Av dessa cookies lagras de cookies som kategoriseras som nödvändiga i din webbläsare eftersom de är nödvändiga för att de grundläggande funktionerna på webbplatsen ska fungera. Vi använder även tredjepartscookies som hjälper oss att analysera och förstå hur du använder denna webbplats. Dessa cookies kommer endast att lagras i din webbläsare med ditt samtycke. Du har också möjlighet att välja bort dessa cookies. Men att välja bort vissa av dessa cookies kan ha en effekt på din surfupplevelse.
Nödvändiga cookies är absolut nödvändiga för att webbplatsen ska fungera korrekt. Dessa cookies säkerställer grundläggande funktioner och säkerhetsfunktioner på webbplatsen, anonymt.
Kaka
Varaktighet
Beskrivning
cookielawinfo-checbox-analytics
11 months
Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional
11 months
Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement
1 year
Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary
11 months
Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance
11 months
Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy
11 months
Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.
Funktionella cookies hjälper till att utföra vissa funktioner som att dela innehållet på webbplatsen på sociala medieplattformar, samla in feedback och andra tredjepartsfunktioner.
Kaka
Varaktighet
Beskrivning
bcookie
2 years
LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie
2 years
LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang
session
LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc
1 day
LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.
Prestandacookies används för att förstå och analysera webbplatsens nyckelprestandaindex, vilket hjälper till att leverera en bättre användarupplevelse för besökarna.
Analytiska cookies används för att förstå hur besökare interagerar med webbplatsen. Dessa cookies hjälper till att ge information om mätvärden för antalet besökare, avvisningsfrekvens, trafikkälla, etc.
Kaka
Varaktighet
Beskrivning
_ga
2 years
_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE
2 years
Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1
1 minute
Inställd av Google för att särskilja användare.
_gat_UA-55739322-1
1 minute
En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid
1 day
Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress
30 minutes
Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen
30 minutes
Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample
2 minutes
Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample
2 minutes
Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest
session
För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT
2 years
YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager
1 year
nQ_cookieId
1 year
Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory
1 month
LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.
Annonscookies används för att ge besökarna relevanta annonser och marknadsföringskampanjer. Dessa cookies spårar besökare över webbplatser och samlar in information för att tillhandahålla anpassade annonser.
Kaka
Varaktighet
Beskrivning
VISITOR_INFO1_LIVE
5 months 27 days
En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC
session
YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices
never
YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id
never
YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
Andra okategoriserade cookies är de som analyseras och som ännu inte har klassificerats i en kategori.
Kaka
Varaktighet
Beskrivning
_hjSession_2668272
30 minutes
Ingen beskrivning
_hjSessionUser_2668272
1 year
Ingen beskrivning
AnalyticsSyncHistory
1 month
Ingen beskrivning
li_gc
2 years
Ingen beskrivning
nQ_userVisitId
30 minutes
Ingen beskrivning
Jag godkänner inställningarna ovan. Ändra dessa inställningar när som helst via Dina kakor till höger på webbplatsen. Spara ovanstående valAcceptera alla
Dina kakor
Sekretessöversikt
Denna webbplats använder cookies för att förbättra din upplevelse när du navigerar genom webbplatsen. Av dessa cookies lagras de cookies som kategoriseras som nödvändiga i din webbläsare eftersom de är nödvändiga för att de grundläggande funktionerna på webbplatsen ska fungera. Vi använder även tredjepartscookies som hjälper oss att analysera och förstå hur du använder denna webbplats. Dessa cookies kommer endast att lagras i din webbläsare med ditt samtycke. Du har också möjlighet att välja bort dessa cookies. Men att välja bort vissa av dessa cookies kan ha en effekt på din surfupplevelse.
Nödvändiga cookies är absolut nödvändiga för att webbplatsen ska fungera korrekt. Dessa cookies säkerställer grundläggande funktioner och säkerhetsfunktioner på webbplatsen, anonymt.
Kaka
Varaktighet
Beskrivning
cookielawinfo-checbox-analytics
11 months
Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional
11 months
Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement
1 year
Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary
11 months
Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance
11 months
Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy
11 months
Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.
Funktionella cookies hjälper till att utföra vissa funktioner som att dela innehållet på webbplatsen på sociala medieplattformar, samla in feedback och andra tredjepartsfunktioner.
Kaka
Varaktighet
Beskrivning
bcookie
2 years
LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie
2 years
LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang
session
LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc
1 day
LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.
Prestandacookies används för att förstå och analysera webbplatsens nyckelprestandaindex, vilket hjälper till att leverera en bättre användarupplevelse för besökarna.
Analytiska cookies används för att förstå hur besökare interagerar med webbplatsen. Dessa cookies hjälper till att ge information om mätvärden för antalet besökare, avvisningsfrekvens, trafikkälla, etc.
Kaka
Varaktighet
Beskrivning
_ga
2 years
_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE
2 years
Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1
1 minute
Inställd av Google för att särskilja användare.
_gat_UA-55739322-1
1 minute
En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid
1 day
Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress
30 minutes
Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen
30 minutes
Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample
2 minutes
Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample
2 minutes
Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest
session
För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT
2 years
YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager
1 year
nQ_cookieId
1 year
Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory
1 month
LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.
Annonscookies används för att ge besökarna relevanta annonser och marknadsföringskampanjer. Dessa cookies spårar besökare över webbplatser och samlar in information för att tillhandahålla anpassade annonser.
Kaka
Varaktighet
Beskrivning
VISITOR_INFO1_LIVE
5 months 27 days
En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC
session
YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices
never
YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id
never
YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
