Illustration på två personer som fikar, med ett vakande öga ovanför

Morgonfikat - ditt viktigaste cyberskydd

EU:s nya cybersäkerhetsregler håller ledningen ansvarig – men teknik räcker inte. Den verkliga säkerheten sitter i kulturen, och den formas inte i serverhallen, utan runt kaffemaskinen.

Det viktigaste skyddet är inte dyra system, standarder eller skyddsklassade lokaler – utan morgonfikat där medarbetarna delar erfarenheter. Där byggs den verkliga säkerheten: en levande kultur som både förebygger och minskar skador när krisen kommer. Och ja – även om du just investerat i marknadens bästa teknik med kryptering och flerfaktorautentisering, börjar tryggheten fortfarande vid kaffemaskinen.

När alla ser, men ingen agerar

Tror du att transportbolaget saknade cybersäkerhet före haveriet, eller att gruvraset verkligen kom som en överraskning? Många såg riskerna, men ingen agerade. När varningssignaler ignoreras spelar teknik och rutiner liten roll – och det finns ingen genväg till den kultur som krävs.

Kulturen som skydd

En bristande säkerhetskultur kan visa sig på många sätt – från att man inte ser något värt att skydda till att tystnadskulturen gör det viktigare att bevara den goda stämningen än att tala om risker.

Att säkerhet börjar och ibland, tyvärr, även slutar med organisationskulturen är väl känt. Nya EU-regleringar som NIS2* och DORA** handlar bland annat om just kulturfrågor som riskfaktor.

Reglerna kräver mer än teknik

EU ser det likadant. I NIS2 står det att “En riskhanteringskultur som inbegriper riskbedömningar och genomförande av riskhanteringsåtgärder för cybersäkerhet som är anpassade till riskerna bör främjas och utvecklas.”

Källa: Direktiv (EU) 2022/2555, motivskäl (77), EUR-Lex.

NIS2 gör dessutom ledningen personligen ansvarig för att säkerhetsarbetet styrs, följs upp och förstås. En god säkerhetskultur är alltså inte längre bara en preventiv fördel och något som underlättar krishanteringen. Den är numera din skyldighet. Men det i sig betyder inte att du nu bara behöver få din organisation att, hypotetiskt, bli "NIS2 Compliant" och sedan kan luta dig tillbaka. Det är den typen av missförstånd som troligen kan hittas bakom katastroferna som vi inledde den här texten med.

Fem sätt att stärka säkerhetskulturen

På samma sätt som du vill att alla medarbetare ska förstå varför organisationen finns – och kunna omsätta det i sin vardag – behöver du också arbeta med säkerhetsfrågorna.

1. Definiera det skyddsvärda

Det här är utgångspunkten för er säkerhetskultur. Hela organisationen måste förstå att det finns något hos er som är skyddsvärt. Varje individ behöver känna till skyddsvärdet i den omfattning som det egna uppdraget kräver. Kollektivet behöver ha en gemensam uppfattning om värdet, att dela och att vårda.

2. Definiera hotet

Alla måste förstå att det finns hot mot verksamheten. Därför behöver hotbilden beskrivas på ett sätt som alla kan ta till sig – även de som inte upplever sig arbeta med säkerhet till vardags.

3. Definiera riskerna

Alla måste bottna i vad som kan hända om något går fel – både utifrån sin egen roll och som del av helheten. Vad kan du själv orsaka?  Och vad kan hända när ni tillsammans agerar på ett visst sätt?

4. Definiera ansvaret.

För dig som ledare behöver du känna till hur ditt formella ansvar kan ha skärpts genom de senaste årens regeländringar. För kollektivet är känslan av gemensamt ansvar avgörande. Den gamla devisen "delat ansvar, inget ansvar" är inget ni vill fastna i.

5. Planera och led för förändring

Hur ska du och dina närmaste i ledningen agera för att driva de här frågorna framåt?  Målet är att de ska bli en del av ert organisatoriska minne och kunna föras vidare till nya generationer av medarbetare.

När säkerheten blir vardag

En morgon vid fikat ställer någon frågan om den där gamla servern som hållits vid liv med tejp och tur. Någon annan svarar direkt: ”Bra poäng, jag tar det i eftermiddag.”

Då vet du att säkerheten sitter. Inte bara i certifikaten, utan i kulturen. Och ditt kaffe smakar extra bra.

På XLENT ser vi säkerhetskultur som en strategisk tillgång, inte en kostnad. Våra uppdrag handlar ofta om att hjälpa ledningsgrupper att göra säkerhetsfrågorna lika begripliga och naturliga som affärsfrågorna. För när säkerheten är en naturlig och accepterad del av vardagen – vid kaffemaskinen och i de informella samtalen – då har ni nått längre än vad alla certifikat kan ta er.

*NIS2: EU:s direktiv om nätverks- och informationssäkerhet.

**DORA: EU:s förordning om digital operativ motståndskraft för finansiella aktörer.

Kontakt

Emily Larsdotter 070-324 91 30
Göran Åbonde

Relaterat