Skalan går från 0 till 100.

En poängsumma över 90 motsvarar en utmärkt säkerhetskultur, ett resultat på mellan 80 och 89 poäng visar att företaget har en bra säkerhetskultur, medan företag som får mellan 60 och 79 poäng har en kultur som betecknas som måttlig.

Om verksamheten får mindre än 60 poäng, har den en dålig säkerhetskultur. Företagen bedöms utifrån de sju dimensionerna attityd, beteende, kognition, kommunikation, normer, ansvar och efterlevnad.

Mänskliga fel drabbar

– Vi är förvånade att många företag fortfarande får relativt låga poäng när det gäller säkerhetskulturen. Mer än nio av tio företag har det som vi definierar som en måttlig säkerhetskultur. När vi vet att kriminell IT-aktivitet drabbar företag varje dag och orsakar både direkta kostnader, och oftast tar stora resurser i anspråk för att säkra de digitala värden som står på spel när detta sker, är det förbryllande att många företag inte arbetar mer med detta, säger Kai Roer, vd på CLTRe, ett KnowBe4-företag. Företaget är det globala forskningscentret inom säkerhetskultur för säkerhetskoncernen KnowBe4.

Han tycker att det är oroande att flera av branscherna som levererar samhällskritiska tjänster eller produkter, som energisektorn och offentliga företag, är dåliga på säkerhetskultur och att de som hanterar känsliga uppgifter, som utbildning, ligger långt ner på listan.

– Energisektorn har varit bra på det tekniska, men försummat den mänskliga faktorn. Det är intressant mot bakgrund av att de största kända fallen av digitala attacker beror just på mänskliga misstag. Inom offentlig sektor och utbildning har allt fler tjänster och mer data blivit tillgängliga online för att underlätta för användarna. Då bör även arbetet med säkerhetskulturen intensifieras för att skydda informationen på bästa möjliga sätt, säger han.