Samtalet under webbinariet Cybersäkerhet i vardagen – hur kan vi jobba och hur ser det ut? inleddes av Joakim Hejestad från Junglemap som beskrev hur viktigt det är med en kombination av både kulturella och strukturella processer för att nå effektmålen vid olika typer av förändringar.
- Om den som skall anpassa sig eller lära sig ett nytt system, inte förstår varför förändringen är viktig, eller vilken nytta den kommer att göra, så leder det ofta till ett motstånd, säger Joakim Hejestad.
Joakim Kyräs, vd på Lektus, ett konsultbolag som arbetar i många stora VA-projekt, håller med. ”Förståelsen är en nyckel”, konstaterar han. Annars blir det en tröghet i systemet.
Beteendeförändring tar tid
Daniel Vallentin, CRO på SecureAppbox, pekar på att verksamhetsnyttan alltid måste komma först. IT-lösningar som säljs in som just tekniska lösningar, blir sällan lyckade. En annan framgångsfaktor är såklart enkelheten.
- Det måste lätt att göra rätt och lätt att agera på ett säkert sätt, konstaterar Daniel Vallentin. Annars vänder sig folk direkt till enklare och osäkrare lösningar.
Hela panelen är dessutom överens om att förändring tar tid. Och måste få ta tid. Joakim Hejestad lyfter fram synen på lärande och förändring som ett event som går att bocka av som ett av de största hindren.
- Lärande är inget event, det är en process. En process som måste få ta tid.
Säkerhet en ledningsfråga
Att säkerhet inte är någonting som går att checka av råder det ingen tvekan om. Med införandet av det nya NIS2-direktivet pekas också ansvaret för styrelser och ledningar ut på ett tydligare sätt. Något som Joakim Kyräs märker ute i den praktiska projektverksamheten.
- Tidigare var säkerhet nåt som gällde ”innanför grindarna”, men med NIS2 är det en fråga som angår hela verksamheten, hela vägen upp, säger han.
Konkreta tips på vägen
Att bygga upp en säkerhetskultur grundad i förståelse och säkra verktyg är en långsiktig process. Joakim Hejestads råd till organisationer är ändå att komma igång så snabbt som möjligt. Att starta processen och få en koll på organisationens mognadsgrad när det gäller säkerhet.
- Det här bör finnas med redan i pre- och onboarding av ny personal, säger Joakim Hejestad. Samtidigt är det viktigt att hitta en balans och en rytm i lärandet och informationen. Vi erbjuder till exempel phishing-simuleringar som en del av vår utbildning i informationssäkerhet, och där är det väldigt viktigt att man inte skickar ut phishing-test för ofta. Då uppstår det en slags simulerings-trötthet och folk riskerar att bli avtrubbade.
Daniel Vallentin efterlyser mer anpassad och rollbaserad utbildning. ”Ingen vill ha en hel verktygslåda i knät” konstaterar han. Istället är det bättre att börja med en tjänst i taget, beroende på IT-mognad i organisationen.
- Sen behöver vi börja hos ledningen, konstaterar Daniel Vallentin. Den här typen av satsningar måste vara tydligt sanktionerade och motiverade genom chefsleden.
