Hvordan står det til med sikkerhetskulturen?
Bank, finansielle tjenester og forsikring er best på sikkerhetskultur, mens utdanningssektoren, transportnæringen og energisektoren scorer dårligst. Det viser KnowBe4s globale sikkerhetskultur-analyse.
Mer enn 120 000 medarbeidere har deltatt i analysen, som omfatter selskaper i alle verdensdeler. Skalaen går fra 0 til 100. En score over 90 er tilsvarende en utmerket sikkerhetskultur, en score mellom 80 og 89 viser at virksomheten har en god sikkerhetskultur, mens selskaper som scorer mellom 60 og 79 har en kultur som betegnes som moderat. Hvis virksomheten får under 60 poeng har den en dårlig sikkerhetskultur. Selskapene vurderes på de syv dimensjonene, holdning, atferd, kognisjon, kommunikasjon, normer, ansvar og etterlevelse.
Menneskelige feil rammer
– Vi er forundret over at mange virksomheter fortsatt scorer relativt lavt på sikkerhetskultur. Flere enn ni av ti virksomheter har det vi har definert som moderat sikkerhetskultur, sier daglig leder Kai Roer i CLTRe. Selskapet er det globale forskningssenteret innenfor sikkerhetskultur for sikkerhetskonsernet KnowBe4.
– Når vi vet at kriminell IT-aktivitet rammer selskaper hver dag, og påfører de som rammes både direkte kostnader og som oftest betydelig ressursbruk for å sikre de digitale verdiene som er i spill når det skjer, er det et tankekors at mange virksomheter ikke arbeider mer med dette, sier Roer.
De beste er best på alt
Analysen går blant annet gjennom opplæring, rutiner og systemer, samt kommunikasjon og oppfølging av medarbeiderne.
– Kultur kan påvirke en organisasjons sikkerhet betydelig. Målet med denne studien er å tilby markedet den mest omfattende studien innenfor kultur som påvirker cybersikkerheten. Vi ser blant annet at det ikke er så store variasjoner på bransjene fra dimensjon til dimensjon. De som er best, gjør mye riktig på alle områdene, mens de som scorer dårligst, er gjennomgående dårlig på alt, sier Roer.
Lav score for samfunnskritiske bransjer
Han mener det er urovekkende at flere av bransjene som leverer samfunnskritiske tjenester eller produkter, som energibransjen og offentlige virksomheter, gjør det dårlig, og at de som forvalter sensitiv data, som utdanning, ligger langt nede på listen.
– Energisektoren har vært dyktig på det tekniske, men forsømt den menneskelige faktoren. Det er interessant, når man ser at de største kjente tilfellene av digitale angrep skyldes menneskelige feil. Innen offentlig sektor og utdanning har stadig flere tjenester og data blitt tilgjengelig via nettet, for å øke brukervennligheten. Da bør også sikkerhetskultur-arbeidet intensiveres, for å sikre informasjonen best mulig, sier han.
Forbedring på etterlevelse
"Security Culture Report" ble først gitt ut i 2017 og gir status for sikkerhetskulturen i både private og offentlige virksomheter. I årets utgave har CLTRe analysert arbeidet i alle verdensdeler.
– Det som er positivt i årets undersøkelse er at mange virksomheter og bransjer har forbedret seg siden forrige analyse. Det området vi ser en mest positiv utvikling på er etterlevelse. Medarbeiderne bruker den kunnskapen de har, og er klar over sikkerhetsrisiko og aktiviteter som fører til risiko, sier Kai Roer.
(CLTRe/NTB Kommunikasjon)