av Roar Thon

Behovet for å sikre våre digitale- plattformer og løsninger blir stadig tydeligere for flere i det norske samfunn. Påminnelsene om utfordringene vi står ovenfor dukker daglig opp i media. Det kan fort skapes et ensidig inntrykk av at dette kun er et spørsmål om manglende teknologiske tiltak og kompetanse. Dessverre er utfordringen mer komplisert. I tillegg til den teknologiske dimensjonen må vi også ta høyde for menneskelig kunnskap og adferd på godt og vondt. Vi kan gjerne ønske at enkeltindividets adferd ikke har så stor sikkerhetsmessig betydning som den faktisk har i 2018, men enn så lenge er dette en faktor som ikke kan overses.

Alle virksomheter har en sikkerhetskultur – spørsmålet er om den er god eller dårlig.

Sikkerhetskultur er et samlebegrep som i økende grad blir benyttet for å beskrive de menneskelige faktorene som bidrar til god eller dårlig sikkerhet. Vi ser heldigvis ut til å ha kommet oss vekk fra det stadiet hvor sikkerhetskultur blir omtalt som noe som enda ikke er implementert i virksomheten. «Vi må få på plass en sikkerhetskultur» har også vært en gjenganger i hvordan begrepet har blitt omtalt.

Det har ingen hensikt å etterlyse noe du allerede har. Spørsmålet er bare om den sikkerhetskulturen som eksisterer i norske virksomheter er god eller dårlig? Mange norske virksomheter bruker i økende grad ressurser på opplæring, holdningskampanjer og andre tiltak for å forbedre sikkerhetskulturen i sine egne organisasjoner. Andre benytter mulighetene under nasjonal sikkerhetsmåned som koordineres av Norsk senter for informasjonssikring (NorSIS).

Norske undersøkelser får internasjonal oppmerksomhet

En fellesnevner for slike tiltak er det økende behovet for å kunne dokumentere at investeringene i tid og penger faktisk har den ønskede effekten. Kort og godt. Virker det? Hva bør vi fokusere på for å forbedre sikkerhetskulturen i den enkelte virksomhet?  I Norge skjer det mye på dette området som nå får internasjonal oppmerksomhet.  European Union Agency for Network and Information Security (ENISA) har rettet blikket mot Norge og anbefaler andre europeiske land å følge i norske fotspor.

NorSIS har fått betydelig oppmerksomhet i ENISA for sine nasjonale undersøkelser knyttet til nordmenns sikkerhetskultur. I undersøkelsene er det mange interessante funn som ikke bare bør sees i et sikkerhetsperspektiv. Den avslører ikke minst noe om det generelle behovet for å øke den digitale kompetanse hos nordmenn.

Også det norske selskapet CLTRE har fått oppmerksomhet fra ENISA. Resultatet av firmaets målinger av sikkerhetskultur i norske virksomheter viser at sikkerhetskulturen i en virksomhet varierer og er sterkt avhengig av kjønnsbalansen i arbeidsstyrken. Funnene tyder på at norske virksomheter med god kjønnsbalanse har en bedre sikkerhetskultur.  God kjønnsbalanse på arbeidsplassen gir således en positiv effekt som bidrar til å redusere risiko og øker sikkerheten i norske virksomheter.

Ser man på skjevfordelingen mellom kjønn i den norske IT bransjen burde slike funn føre til enda flere tiltak som bidrar til å rekruttere inn kvinner i en bransje som har et sterkt behov for å forbedre sikkerheten og sin egen sikkerhetskultur.