Informationssäkerhet - en kulturfråga
Tekniska lösningar är en viktig del av en organisations informationssäkerhet. Men utan att arbeta med den interna kulturen är det omöjligt att skapa en säker organisation.
I vårt informationssamhälle ökar kraven på att information alltid ska vara tillgänglig. Därmed ökar behovet av att kunna skydda och hantera data på ett säkert sätt. Men informationssäkerhet är mycket mer än vad människor i gemen tror och inget som går att lägga enbart på specialister. Alla tar varje dag beslut som är kopplade till säkerhet. Många låter sina papper ligga framme på jobbet, lämnar datorerna öppna utan att ens låsa dem när de går och fikar, eller arbetar på datorn på tåget eller flyget där grannen kan läsa på skärmen.
Säkerheten på ett företag eller i en organisation är en ledningsfråga. Varje verksamhet måste identifiera vad som är skyddsvärt för just dem. Baserat på den identifieringen är det viktigt att ge tydliga instruktioner för vad som är tillåtet och inte och personalen måste utbildas i vilka säkerhetsrutiner som gäller.
Jonas Hallberg, forskare inom informationssäkerhet vid Totalförsvarets forskningsinstitut, FOI poängterar att det är viktigt att lyfta fram de sociala aspekterna av informationssäkerhet.
– Det räcker inte att fokusera på tekniska lösningar, utan systemen måste kompletteras med administrativa rutiner. Det handlar om användning, hur människor hanterar systemen och uppgifterna i dem, och deras attityder till informationssäkerhet, förklarar Jonas Hallberg. Det finns till exempel en stor risk att människor tycker att säkerhetsrutinerna är för krångliga och hoppar över det som de upplever som ett hinder i det dagliga arbetet.
Det är i sådana situationer som kulturen kommer in. Om det finns en kultur som tillåter att det tummas på rutinerna, är det lätt att säkerheten urholkas. Därför är det viktigt att aktivt arbeta fram en säkerhetsmedveten kultur.
– När man utvecklar avancerad och säker teknik, måste man tänka på hur människor fungerar. säger Jonas Hallberg. Vår ambition är att bidra till insikter och förståelse i den här frågan, och att presentera arbetssätt, metoder och verktyg för att möta utmaningarna, säger Jonas Hallberg.
FOI:s forskning på området finns med i en nyutkommen bok; Informationssäkerhet och organisationskultur. Boken, som är en antologi, är ett led i ett forskningsprogram kring säkerhetskulturer i organisationer som har finansierats av Myndigheten för samhällsskydd och beredskap, MSB. Författare till boken är ett stort antal forskare från FOI och flera svenska universitet som belyser frågan ur olika perspektiv.