Å investere i god beskyttelsesteknologi er helt nødvendig for å beskytte bedriften mot hackere og cyberangrep. Likevel er det viktig å huske at sikkerheten ikke er sterkere enn sitt svakeste ledd i denne sammenhengen. Det gjelder derfor å bygge en sterk kultur for cybersikkerhet i hele bedriften.
Når det kommer til cybersikkerhet, er alle ansatte en potensiell sårbarhet. I et stort antall av vellykkede cyberangrep har hackerne kommet inn via ansattes mobiler eller PC-er. Dette skyldes som oftest for lite kunnskap og svake sikkerhetsrutiner.
Gjennom god og kontinuerlig kompetansebygging kan imidlertid de ansatte gå fra å være en sårbarhet, til en viktig ressurs for å opprettholde – og øke – sikkerhetsnivået.
For å forstå og forbedre sikkerhetsbevisstheten i en organisasjon, bør man alltid starte med en vurdering av nåsituasjonen. For eksempel kan SANS Security Awareness Maturity Model brukes som et rammeverk for å kartlegge hvor bedriftens sikkerhetsarbeid er i dag:
Når denne kartleggingen er gjort er det lettere å sette mål og følge med på utviklingen i programmet.
For å bygge en sterk kultur for cybersikkerhet må ledelsen starte med seg selv. Ledelsen har en kritisk rolle i å sette standarder, allokere ressurser og sikre at cybersikkerhet er en prioritet på tvers av hele organisasjonen. Det er derfor avgjørende at ledelsen sørger for å øke sitt eget kunnskapsnivå og engasjement for cybersikkerhet.
En av de største og vanligste feilene når bedrifter skal jobbe med cybersikkerhet, er at det legges store ressurser og midler i IT-sikkerheten, mens produksjonen (OT-systemene) glemmes. Det er riktig at uønskede aktører ofte kommer inn via hull i IT-sikkerheten, men de virkelig store (og potensielt dyre og skadelige) konsekvensene skjer når de kommer seg inn til produksjonsmiljøet. Det kan føre til kostbar produksjonsstans eller i verste fall helseskadelige lekkasjer.
I tillegg til å ha gode beskyttelsessystemer for både IT og OT, er det derfor viktig å skape en felles forståelse blant alle ansatte. Enten de jobber i IT- eller OT-avdelingene. Ved at alle forstår forskjellene og sammenhengene mellom disse miljøene, kan alle jobbe mot samme mål – en helhetlig cybersikkerhetsstrategi som beskytter hele organisasjonen.
Les også: Industrielle brannmurer reduserer risiko i produksjonsnettverket
Kulturbygging stopper ikke når prosedyrer og teknologi er på plass. Det krever kontinuerlig innsats og engasjement. Det gjelder å holde cybersikkerhet langt fremme i bevisstheten til de ansatte, og helst sørge for å gjør det engasjerende. En god praksis er å etablere et årshjul med jevnlige øvelser og spesifikke fokusområder i forskjellige deler av året. For eksempel er oktober kjent som “Cyber Security Month”, hvor det kan passe å ha litt ekstra trøkk på aktiviteter som engasjerer de ansatte.
Et eksempel på en øvelse som er både nyttig og engasjerende, er en såkalt incident response-øvelse hvor man utspiller et realistisk angrepsscenario. Slike øvelser gir verdifull innsikt i hva som mangler i planen både med tanke på prosesser, ansvar og teknologi. Denne innsikten er verdifull i arbeidet med å forberede bedriften på et eventuelt angrep. De ansatte får også en praktisk forståelse av hvem som har hvilket ansvar, og i deres egen rolle, dersom et angrep skulle skje.
Andre aktiviteter som kan bidra til å holde de ansatte på alerten, er regelmessige phising-kampanjer, korte opplæringsquizer eller forklarende videoer. Det er også mulig å skape vennlig konkurranse mellom ansatte eller avdelinger om å gjennomføre flest opplæringsvideoer eller klikke på færrest phising-lenker. Dette engasjerer de ansatte og gjør cybersikkerhet til en del av hverdagen.
Implementering av en kultur for cybersikkerhet krever innsats fra hele organisasjonen, fra toppledelsen til den enkelte ansatte. Å forstå og beskytte både IT- og OT-systemer, fremme samarbeid og kontinuerlig lære og øve, er en investering som ikke bare beskytter, men også kan føre til økt oppetid og mer stabil produksjon. Det gir gevinst for hele virksomheten.