Har kommer ett inlägg från Andrew Rose på Proofpoint kring hur företag på bästa sätt bör bygga en hållbar säkerhetskultur:
”Den mänskliga faktorn har tydligt etablerat sig som en nyckelfaktor i kampen mot dataintrång och cyberattacker. Enligt Verizons Data Breach Investigations-rapport för 2021 framkommer det att så många som 85 procent av framgångsrika cyberattacker drar nytta av den mänskliga faktorn och att social engineering varit den vanligaste metoden under det år som undersökts.
De anställda har länge blir orättvist brännmärkta som ”den svagaste länken” och ” den första försvarslinjen” – och i vissa fall, vilket oroar än mer, som ”den sista försvarslinjen”. Samtliga etiketter är på något sätt missvisande. Sanningen är att dagens hotlandskap är tämligen okomplicerat – människor är den främsta attackytan.
När en majoritet av attackerna specifikt riktar in sig på användarna – genom att försöka lura dem till att klicka på en skadlig länk, dela med sig av sina inloggningsuppgifter, öppna en bifogad fil eller helt enkelt bara betala en falsk faktura – är det viktigare än någonsin att bygga en stark säkerhetskultur.
Det känns som en uppenbar sak att prioritera, men samtidigt är det något som de flesta säkerhetsansvariga och CISO:er har oerhört svårt att uppnå.
Kultur är något som skapas över tid och kräver att man medvetet planerar och kontinuerligt uppmuntrar för att det ska bli som man tänkt. De flesta organisationer har dessutom en befintlig kultur som säkerhetsansvariga behöver förhålla sig till och anpassa sig efter, men utan en tydlig vision av vad man vill uppnå är det svårt. Instinktivt borde risk- och säkerhetsutbildning fungera, men i verkligheten ser vi att man som bäst kan hoppas på en initial effekt. På längre sikt behöver man göra mer för att förändra beteenden.
Den bistra sanningen är att ökad medvetenhet inte leder till förändrat beteende. Proofpoints nyligen släppta rapport ”Voice of the CISO” visar att även om 61 procent av de tillfrågade upplever att medarbetarna förstår sin roll i arbetet med att skydda organisationen mot cyberhot, så svarar 63 procent att den mänskliga faktorn utgör organisationens största cybersårbarhet.
Målet
Det finns nog ingen CISO som inte vill ha en organisation där samtliga medarbetare spelar en aktiv roll i ett förlängt säkerhetsteam,. De behöver medarbetare som kontinuerligt agerar på rätt sätt, fattar vettiga säkerhetsbeslut och eskalerar situationer när det behövs.
För att uppnå detta behöver Medarbetarna måste uppfatta värdet av god säkerhet, krisen som kommer i dess avsaknad och förstå när de behöver använda sina cybersäkerhetskunskaper samt när de behöver föra vidare händelser inom organisationen.
Dessutom behövers säkerhetsteamet vika såväl tid som uppmärksamhet åt att säkerställa att medarbetarna har koll på olika tekniker som cyberbrottslingar använder och att de känner igen de många olika typerna av hot. Utbildningen behöver kontinuerligt uppdateras och följas upp för att hänga med i den snabba utvecklingen av hotlandskapet.
Det låter kanske enkelt, men är svårt att uppnå – inte minst när det är ont om resurser och flera olika delar av organisationen konkurrerar om medarbetarnas uppmärksamhet. Det är inte helt ovanligt att andra avdelningar kommer med uppmaningar som kan gå på tvärs, exempelvis genom uppmaningar om att vara innovativa, vilket lätt kan innebära att man tar avsteg från policys och ramverk.
Vägen dit
Det finns tre tydliga milstolpar att uppnå på vägen mot en framgångsrik säkerhetskultur:
Först ut är den traditionella modellen där CISO:n är den som förmedlar säkerhetsbudskapet till den övriga organisationen för att förmå dem att agera därefter. Det behövs för regelefterlevnad och svarar mot det mest grundläggande behovet av att sprida medvetenhet, men effekten – särskilt på lång sikt – är begränsad. Här befinner sig de flesta organisationer.
Steg två innebär ett viktigt genombrott – ett skifte av fokus där ”medvetenhet” blir en del av det större målet ”att förändra beteenden”. Med stöd i beteendevetenskap ligger fokus under den här fasen på att uppmuntra medarbetarna till att förändra sitt beteende, även om de är stressade och pressade. När processen gått i mål är CISO:n inte längre den enda rösten som påverkar deras handlande, de har nått en inre förståelse av vad som är acceptabelt och önskvärt. Men det är inte ofelbart, sådant som arbetsbelastning, socialt tryck och förändrade prioriteringar från arbetsledare kan få även de bästa intentioner att spåra ur.
Det sista steget uppnås i takt med att det sprids en samsyn i organisationen och målet, att uppnå god säkerhet, blir en implicit förväntning i gruppen. Det blir ett slags grupptryck som leder till att det blir mindre acceptabelt att ta avsteg från säkerhetsarbetet. I det här skedet finns det flera röster som uppmuntrar och stöttar ett positivt säkerhetsbeteende: CISO:n, deras egen interna röst och alla andra i deras omgivning.
Det sista steget, där hela företaget förväntar sig att säkerhet ska vara något prioriterat, är slutmålet. För många framstår det som en avlägsen och kanske rentav ouppnåelig dröm, men jag har själv arbetat i kritisk infrastruktur-organisationer på nationell nivå där jag upplevt hur den här typen av säkerhetskultur fungerar. Det säkerställer att strategi och beslut som går emot kulturen inte får gå oemotsagda utan utmanas, oavsett hur senior källan till dem är.
Säkerhetskultur behöver genomsyra hela organisationen och inte bara vara något som hänger på CISO-rollen. När alla medarbetare tar ansvar för säkerhet på samma vis som exempelvis flygbolag eller oljeplattformar gör, kommer vi att kunna skörda vinsterna av en säkerhetskultur.”
– Andrew Rose, CISO, EMEA på Proofpoint –
