Digital sikkerhet - en kommunikasjonsutfordring
Virksomheter samler inn, lagrer, produserer og deler informasjon hele tiden. Informasjonen er verdifull og må beskyttes på lik linje med andre verdier. Her spiller kommunikatører en viktig rolle.
Ole Anders Ulsrud, rådgiver for Norsk senter for informasjonssikring. Gjesteblogger på PR-prat.
Informasjonssikkerhet handler forenklet og kort fortalt om å beskytte informasjon slik at den alltid er tilgjengelig og korrekt for de som skal ha tilgang. Vår påstand er at god kommunikasjon internt i virksomheten er en forutsetning for å lykkes med sikkerhetsarbeidet.
Her er fem ting du som kommunikatør kan gjøre for å bedre arbeidet med digital sikkerhet i din bedrift:
1. Forstå hensikten og målgruppen
Digital sikkerhet blir ofte sett på som noe teknisk, og det er vanlig at budskapene og virkemidlene er blitt valgt av teknologer, mens kommunikasjonsfolket i liten eller ingen grad har blitt engasjert. Når budskapet skal formes, må en forstå hensikten bak budskapet og tilpasse det til målgruppen. Det er gjerne forskjell på om man snakker til IT-sikkerhetsavdelingen, ansatte eller ledelsen.
Sikkerhetsarbeidet i en virksomhet kan deles i tre:
Tekniske tiltak
Tekniske tiltak kan typisk være brannmur, backup og kryptering. Dette er gjerne bokser og programvare som IT-avdelingen tar seg av og som andre ansatte ikke nødvendigvis tenker så mye over til daglig.
Prosesser
Prosesser og interne retningslinjer påvirker hverdagen til alle som jobber i en virksomhet. De beskriver hvordan ting bør gjøres, og når, og er gjerne utarbeidet av et relativt lite utvalg fagpersoner.
Menneskene
Menneskene i virksomheten tar også mange valg hver dag som påvirker informasjonssikkerheten.
2. Forenkle og tilgjengeliggjør budskapet
Digital sikkerhet kan være vanskelig å forstå for mange. Noen ganger er det komplisert og teknisk, og det kan sees på som et hinder til å få gjort det «man egentlig arbeider med». Forenkling handler i stor grad om å legge til rette for at alle skal kunne forstå budskapet og fortellingen. Kommunikatøren kan lage et narrativ som forklarer hvorfor den enkelte må følge sikkerhetsbestemmelsene, på en måte som gjør at de faktisk kan følge reglene i en travel hverdag.
3. Sørg for at ledelsen og fagmiljøene har samme forståelse
God kommunikasjon mellom fagmiljø og ledelse skaper forståelse og et godt grunnlag for å ta riktige beslutninger. Ledelsen må formidle sine ambisjoner og beslutninger til fagmiljøene, og fagmiljøene må formidle de muligheter, begrensninger og sikkerhetsutfordringer som ligger i teknologien. Er det samsvar mellom den faktiske risikoen og den risikoen som ledelsen er villig til å akseptere?
Verdivurderinger, risikovurderinger og internkontroll blir ofte omtalt som noe av det viktigste en virksomhet gjør innenfor sikkerhetsarbeidet. Det er gjerne gjennom disse prosessene den viktigste kommunikasjonen mellom ledelsen og teknologene i sikkerhetsavdelingen foregår. Men er de enige om hva som er virksomhetens viktigste verdier? Har de samme forståelse av hva som er akseptabel risiko? Har ledelsen nok interesse og kunnskap til å forstå teknologene, og har teknologene nok interesse og forståelse av hva som er viktig for business? I de virksomhetene som lykkes med sikkerhetsarbeidet er gjerne kommunikasjonen og rapporteringen internt lagt opp slik at svaret på alle disse spørsmålene JA.
Kommunikatøren kan ha en veldig viktig rolle i å skape forståelse mellom ledelse og fagmiljø. Det må skapes et grunnlag for forståelse og nivåene man snakker på må forenes.
4. Spre ledelsens engasjement for digital sikkerhet, da vil de ansatte også følge med
Det er lederens ansvar at informasjonssikkerheten i virksomheten ivaretas. Lederne må kjenne til sikkerhetskulturen i egen virksomhet slik at de forstår hvordan medarbeiderne forholder seg til digitaliseringen og digitale trusler. De ansatte må være motstandsdyktige mot digitale trusler, samtidig som de gjør sikre valg når de bruker virksomhetens datasystemer. Det krever at lederen har nødvendig kompetanse og tilgang på informasjon. Kommunikatøren må formidle ledelsens engasjement og gjøre den til gode eksempler i virksomheten. Når ledelsen snakker om viktigheten av sikkerhetsarbeid, må dette engasjementet ut i organisasjonen. Det er få ting som motiverer mer enn en engasjert ledelse som virkelig går foran og viser at de selv tar ansvar og viser engasjement for å gjøre arbeidsplassen mer robust mot digitale trusler.
5. Jobb med sikkerhetskultur
En virksomhet som arbeider godt med disse punktene har gjerne en god sikkerhetskultur. Sikkerhetspolicyen må til enhver tid støtte opp om virksomhetens behov, selv når omgivelsene og forutsetningene endrer seg. Sikkerhetsreglene må være på plass og de må håndheves på en konsistent måte, og bli fulgt opp av ledelsen. Kommunikatørene kan formidle ledelsens intensjoner og bidra til at de går foran som gode eksempler. De ansatte må hele tiden minnes på sikkerhetsreglene og eventuelle endinger som skjer i disse. Kommunikatøren vil altså ha en kontinuerlig jobb med å stille spørsmål, forstå, forenkle, tilgjengeliggjøre og fortelle.
Bidrar du til at din bedrift har god informasjonssikkerhet, og at alle ansatte får den informasjonen og opplæringen de trenger?
Nasjonal sikkerhetsmåned er en årlig kampanje for økt kunnskap om informasjonssikkerhet og er i seg selv en utfordrende øvelse i kommunikasjon for sikkerhetsmiljøet. Formålet med kampanjen er å øke kompetansen og bevisstheten på noen få utvalgte områder for å kunne få større oppmerksomhet og påvirke til endring. Kampanjen skal være basert på motivasjon, grunnleggende kunnskap og ha et positivt fokus. Norsk senter for informasjonssikring (NorSIS) har koordinert Nasjonal sikkerhetsmåned i oktober hvert år siden 2011, i samarbeid med ENISA, EUs informasjonssikkerhetsorgan. Under denne dugnaden anbefaler vi alle typer bedrifter, store som små, å gjennomføre opplæring av de ansatte. Vi tilbyr gratis sikkerhetsopplæring til alle virksomheter med mindre enn 20 ansatte. Tema for Nasjonal sikkerhetsmåned 2018 er skadelig e-post og svindel på nett.Fakta: Nasjonal sikkerhetsmåned