Veileder i kompetanse- og kulturutvikling innen digital sikkerhet

Denne veilederen omhandler arbeid med utvikling av kompetanse og kultur knyttet til digital sikkerhet. Vi anbefaler at du har startet med å kartlegge den digitale sikkerhetskulturen i virksomheten.

    Om veiledningen

    Denne veilederen omhandler arbeid med utvikling av kompetanse og kultur knyttet til digital sikkerhet. Veilederen kan brukes sammen med Digitaliseringsdirektoratets «Veileder for kartlegging av digital sikkerhetskultur». Veiledningsmaterialet er utviklet for deg som arbeider med digital sikkerhet eller som er leder i offentlig forvaltning, uavhengig av tidligere erfaring. Veilederen er utformet slik at også de som er nye innen fagfeltet digital sikkerhetskompetanse og digital sikkerhetskultur skal kunne nyttiggjøre seg av innholdet.

    Hoveddelen av denne veilederen beskriver hvordan man kan arbeide helhetlig med digital sikkerhetskompetanse og -kultur ved å kartlegge behov, velge tiltak tilpasset målgruppe, måle effekt og tenke helhetlig. Veiledningen går også nærmere inn på hvordan man kan jobbe med ulike faktorer som påvirker digital sikkerhetskultur.

    Kompetanse- og kulturutvikling er en kontinuerlig prosess der ledelsen må vurdere om organisasjonen har nødvendig kompetanse og en kultur som støtter målene, eller om det er behov for forbedringer. Små feil og manglende ferdigheter kan løses med opplæring, mens kultur krever mer langsiktige tiltak. Endringer kan være nødvendig hvis kulturen ikke bidrar til at målene nås, eller hvis kravene til virksomheten har endret seg.

    Sikkerhetskultur er en del av dette og påvirker hvordan ansatte håndterer digital informasjon. Ledelsen har ansvar for å sikre at de ansatte har nødvendig kunnskap, mens det praktiske ansvaret ofte ligger hos fagansvarlig for informasjonssikkerhet.

    Lesere bør også være kjent med tilhørende bakgrunnsinformasjon til veiledningen, hvor vi beskriver grunnlaget for arbeidet med digital sikkerhetskompetanse og -kultur, og hvordan arbeid med utvikling av kompetanse- og sikkerhetskultur er knyttet opp mot virksomhetens arbeid med internkontroll:

    Bakgrunnsinformasjon for kompetanse- og kulturutvikling innen digital sikkerhet

    For denne veiledningen bør lesere være kjent med sentrale begreper som benyttes i veiledningsmaterialet om kompetanse- og kulturutvikling innen digital sikkerhet:

    Begreper for kompetanse- og kulturutvikling innen digital sikkerhet

    Helhetlig arbeid med kompetanse- og kulturutvikling

    Målet med opplæringsprogrammet er å gi ansatte den nødvendige kompetansen for å utføre sine daglige oppgaver sikkert, samtidig som sikkerhetskulturen utvikles i ønsket retning. Gjennom ulike aktiviteter skal de ansatte:

    • forstå betydningen av digital sikkerhet i sitt arbeid
    • lære hvordan uønskede hendelser kan påvirke jobben deres eller andre
    • kjenne til interne rutiner for varsling av hendelser
    • bidra til å utvikle sikkerhetskulturen

    Opplæringen bør være helhetlig, basert på behov, og effekten bør jevnlig evalueres og justeres. Det er viktig å forankre opplæringen i ledelsen og involvere relevante avdelinger som HR, kommunikasjonsavdelingen og drift.

    Noen virksomheter gjennomfører tidsbegrensede opplæringskampanjer for å øke kompetanse, endre adferd eller bevisstgjøre ansatte. Slike tiltak bør vurderes i en større sammenheng for å sikre at opplæringen når de områdene der behovet er størst. Her er anbefalinger til hvordan man kan arbeide med opplæringen, i følgende steg:

    • Kartlegge behov og sette i gang tiltak på relevante områder
    • Velge målgruppe
    • Ta i bruk passende tiltak
    • Tenke helhetlig - se tiltak i sammenheng
    • Måle effekt
    • Etablere forvaltningsregime

    Tips:

    Husk:

    • Ledelsens støtte er avgjørende for å gjennomføre nødvendige tiltak, da det sikrer prioritering av tid og ressurser til aktivitetene.
    • Kompetanse- og kulturutvikling kan være utfordrende, men ikke gi opp. Lytt til deltagernes tilbakemeldinger og bruk dem til å justere tiltakene.

    Kartlegge behov - sette i gang tiltak på relevante områder

    Det er viktig at virksomhetene har kartlagt sikkerhetskulturen før det igangsettes tiltak. På den måten vet man at virksomheten bruker ressursene der det er behov og der tiltakene har størst effekt. Det første man må gjøre er derfor å velge ut hvilke områder og hvilke temaer det skal fokuseres på.

    Tiltak kan være nødvendige blant annet fordi:

    • Risikovurderinger tilsier at tiltak er nødvendig på et område
    • Revisjoner, evalueringer eller kartlegginger har vist at sikkerhetskulturen bør forbedres
    • Behov er identifisert i virksomhetsledelsens gjennomgang
    • Virksomheten har forpliktelser i henhold til lov eller avtale
    • Erfaringer fra øvelser og hendelseshåndtering viser behov for tiltak

    Når man velger ut fokusområder, er det viktig å sette seg konkrete mål. Hvis ikke målene er konkrete og målbare, er det vanskelig å se om tiltakene har ønsket effekt.

    Velge målgruppe

    Det er ikke nødvendig å sette i gang tiltak for ansatte som ikke har behov for det. Når det er konkludert med at det er behov for opplæring, er det derfor viktig å identifisere målgruppen for opplæringen. Spørsmål man kan stille seg, er for eksempel: Trenger alle ansatte opplæring, eller er det kun visse grupper? Er det kun relevant for nyansatte, eller er det aktuelt å inkludere øvrige ansatte? Hvilke målgrupper som finnes, vil variere mellom virksomhetene.

    Eksempler på målgrupper er:

    • Risikoeiere (Linjeledere, operativt ansvarlig)
    • Ledergruppen
    • Systemeier
    • Systemutviklere
    • Nyansatte
    • IT-driftspersonell/brukerstøtte
    • Saksbehandlere
    • Kundesenter
    • Innleid personell
    • Organisatoriske enheter, som avdelinger, seksjoner eller tilsvarende
    • Alle ansatte

    Tips:

    • Vurder nøye hvilke målgrupper du har i din virksomhet, og hvilke tiltak som vil passe for å motivere målgruppene. Samme tilnærming passer ikke for alle.
    • Involver hele organisasjonen.
    • Ha tydelige og klare budskap.
    • Hvis du inviterer til åpne arrangementer, er det viktig å kommunisere på forhånd hvilken målgruppe du ønsker skal delta. Hvis deltagerne føler budskapet ikke treffer dem, kan de i verste fall miste interessen for å lære mer om digital sikkerhet. Dette kan føre til at de ikke deltar på fremtidige arrangementer som faktisk er rettet mot dem.
    • Trekk inn kommunikasjonsenheten/de som jobber med kommunikasjon tidlig i prosessen, for å få gode tips og råd til hvordan du kan nå frem til din målgruppe.
    • Involver de minst endringsvillige tidlig i prosessen med utvikling av opplæringstiltak. Du kan da få kritikerne til å bli dine beste ambassadører.
    • Repeter budskapet etter behov.

    Ta i bruk passende tiltak

    Det er mange ulike tiltak på kompetanse- og kulturutvikling, og det er viktig å velge de som passer målgruppen og er gjennomførbare innenfor tilgjengelige ressurser. Vurder nøye kapasiteten til å planlegge, gjennomføre og evaluere tiltakene opp mot budsjettet. For å nå ulike målgrupper kan det være nødvendig å bruke flere tiltak og variere dem. Et tiltaksom har vært effektivt kan miste effekten over tid, så det kan være lurt å vente en periode før tiltaket tas i bruk igjen.

    Når du planlegger sikkerhetsopplæring, vurder om målet er å gi konkret kunnskap, øke bevisstheten, trene ferdigheter eller utvikle kulturen. Ikke alle tiltak passer for alle mål. For eksempel er dilemmatrening godt egnet for å bevisstgjøre og styrke kulturen, men mindre relevant for ferdighetstrening.

    Eksempler på tiltak er:

    • Aksjon/stunt (f.eks. utdeling av sjokolade til de som har låst pc.)
    • Ambassadører (ansatte som får en særskilt rolle i digital sikkerhetsarbeidet i en enkelt enhet.)
    • Deltagelse i fora eller møter for å utveksle informasjon og skape dialog
    • Dilemmatrening (Diskusjoner og/eller refleksjonsøvelser f.eks. gjennom bruk av spill, gruppediskusjoner og rollespill.)
    • Egenerklæring
    • En-til-en samtaler
    • E-læringskurs av ulikt omfang (korte med spissede budskap, eller lengre med mer faglig innhold)
    • Filmer
    • Informasjon på skjermer, plakater, intranett, oppslagstavler o.l.
    • Informasjonsskriv, løpesedler ol.
    • Klasseromsundervisning/foredrag
    • Kurs
    • Podcast
    • Samtaler i uformelle møteplasser (f.eks. under fredagskaffe og lunsj)
    • Webinar

    Tips:

    • Ikke gap over for mye i starten. Det kan være lettere å starte i det små med et lite tiltak, som etter hvert kan skaleres opp.
    • Fokuser på å øke de ansattes mestringsfølelse. Hvis målet er å endre adferd, må den enkelte ha tro på at de får det til.
    • Fokuser på at de ansatte skal kjenne seg igjen i arbeidssituasjonen, gjennom å tilpasse tiltakene.
    • Ved bruk av tekniske hjelpemidler, f.eks. e-læringskurs, er det viktig å sjekke at de tekniske forutsetningene for opplæringstiltaket er til stede, samt teste løsningen godt før utrulling.
    • Når du skal rulle ut et opplæringstiltak, kan det være lurt å skaffe noen ambassadører. Dette er personer i organisasjonen som vil kunne spre budskapet og få andre til å delta, reflektere over, og komme med tilbakemeldinger på opplæringen.
    • Varier tiltaksbruken.
    • Humor er viktig. Dette kan være et godt tiltak for å få digital sikkerhet til å bli et tema i kantina. Samtidig må humoren være tilpasset de ansatte. Se an organisasjonen, og ikke overdriv.
    • Historier fungerer ofte bedre enn statistikk. Ved å gjøre budskapet personlig og relevant, vil flere huske budskapet i ettertid.
    • En god måte å bevisstgjøre ansatte på, er å få dem til å forstå hvorfor digital sikkerhet er viktig og relevant for den enkelte. Dette kan f.eks. gjøres ved å få de ansatte til å reflektere over spørsmålet «hvorfor er digital sikkerhet viktig for meg i min jobb»?
    • Egenerklæringer kan være egnet for å få bekreftet gjennomført opplæring og kunne fremlegge dokumentasjon ved en eventuell revisjon. Husk at erklæringene ikke gir informasjon om faktisk forståelse for, og etterlevelse av, krav.

    Tenke helhetlig - se tiltak i sammenheng

    Det er vanligvis et behov for å ha tiltak på mange ulike områder, inkludert digital sikkerhet.

    Sammenheng mellom tiltak innen ulike fagområder

    Det kan være lurt å se på tiltakene i virksomheten i sammenheng, slik at man sparer tid og ressurser. Opplæring bør gis tematisk og i en god rekkefølge, slik at de ansatte ser sammenhengen mellom de ulike områdene det gis opplæring innen. Enkeltstående tiltak innen et konkret tema vil kunne gi økt kunnskap blant ansatte innenfor det aktuelle området, men gi mindre bevisstgjøring fordi man ikke ser hvordan det henger sammen med virksomhetens mål og øvrige prosesser.

    Når man skal gjennomføre tiltak bør man derfor undersøke om man allerede har etablert eller tatt i bruk tiltak på andre områder som kan benyttes.

    Tips:

    • Inkluder digital sikkerhet når det gis opplæring i arbeidsprosesser og bruk av IKT-verktøy.
    • Bruk gjerne eksisterende fora/møteplasser.
    • Ikke legg opplæringsaktiviteter til de travleste periodene i virksomheten.

    Legg en plan for kompetanseheving og opplæring

    Kompetanse- og opplæringsplaner, både generelt og for digital sikkerhet, kan bidra til at opplæringen blir mer systematisk. Hver virksomhet må vurdere sitt behov for slike planer og hvordan de skal integreres. Det viktigste er å identifisere kompetansebehov og jobbe målrettet for å dekke dem.

    Kompetanseplaner for digital sikkerhet er nyttige for en helhetlig tilnærming til kompetanseheving. De kan med fordel sees i sammenheng med virksomhetens generelle kompetanseplaner. Opplæringsplaner sikrer at kompetansemål nås og bør koordineres for å unngå overlapp.

    Individuelt tilpassede planer krever en kartlegging av behov, noe som kan være ressurskrevende, men nødvendig for å treffe riktig målgruppe. Kompetanse- og opplæringsplaner bør også inngå i internkontrollarbeidet for å sikre at alle behov vurderes samlet. For mer informasjon om internkontroll, se Digitaliseringsdirektoratets veiledningsmateriale «Internkontroll i praksis - informasjonssikkerhet».

    Kompetanse- og opplæringsplaner på ulike nivåer må ses i sammenheng
    Figur 3: Figuren viser hvordan virksomheten kan ha kompetanse- og opplæringsplaner på ulike nivåer som må sees i sammenheng, og som henger sammen med virksomhetens internkontroll.

    Tips:

    • Opplæring må gjøres jevnlig. Kunnskap er ferskvare, og ansatte kommer og går.

    Måle effekt

    Når man jobber med digital sikkerhetskompetanse og -kultur er det viktig å kunne se om tiltakene som iverksettes har ønsket effekt. Man bør derfor ha målbare kriterier som kan gi nok informasjon til å vurdere om ønsket effekt er oppnådd. I Digitaliseringsdirektoratets «Veileder for kartlegging av digital sikkerhetskultur», anbefales det å måle både før og etter tiltakene. Målingen før opplæring kalles en nullpunktsmåling eller baseline. Ved å måle på samme måte før og etter, kan man sammenligne og se om opplæringstiltaket har hatt effekt.

    Det er lettere å måle konkrete hendelser, som deltagelse i opplæring, enn holdninger og adferd. Likevel er det viktig å se på faktiske holdninger og etterlevelse – den enkeltes adferd – for å sikre at tiltaket har hatt ønsket effekt. Det ideelle er å måle resultater fremfor gjennomførte aktiviteter. Det er viktig å vurdere både kvantitative og kvalitative målinger, da disse kan gi ulik informasjon.

    Eksempler på målemetoder:

    • Spørreundersøkelser
    • Antall rapporterte sikkerhetshendelser
    • Statistiske opplysninger fra bruk av IT-systemer
    • Fysiske kontroller som adgangskontroll og låsing av PC.

    Bruk gjerne eksisterende data for å spare ressurser, og tilpass målingen etter hva du ønsker å oppnå, som færre hendelser eller bedre holdninger til digital sikkerhet.

    Måling er en viktig del av internkontrollen. For mer informasjon, se Digitaliseringsdirektoratets veileder «Internkontroll i praksis - informasjonssikkerhet».

    Tips:

    • Et godt avvikshåndteringssystem kan gi verdifulle opplysninger om antall avvik, hvilke områder man bør se nærmere på etc. Men husk at antall innmeldte avvik ikke i seg selv nødvendigvis gir god nok informasjon om tiltak har hatt ønsket effekt.
    • Hvis du måler folks adferd, er det viktig å bruke informasjonen forsiktig. Bruk helst statistiske opplysninger når du kommuniserer resultatene. Og pass på at ingen føler seg hengt ut.
    • Vær oppmerksom på hvordan du utformer spørsmål. Vi har en tendens til å svare det vi tror er forventet eller ønsket svar.

    Etablere forvaltningsregime for kompetanse- og opplæringstiltak

    Det er nødvendig å ha en plan for hvordan kompetanseplaner og opplæringstiltak skal håndteres fremover. Et forvaltningsregime sørger for at kompetanseplanene og opplæringstiltakene i virksomheten blir riktig brukt, oppdatert og eventuelt utfaset. Kompetanseplaner bør være et aktivt verktøy som reflekterer virksomhetens praksis, og det må være klart hvem som er ansvarlig for oppdateringer.

    Opplæringstiltak må også revideres jevnlig, for eksempel når nye krav innføres, retningslinjer endres, eller materialet mister sin effekt over tid. Et godt forvaltningsregime sikrer at opplæringen alltid er oppdatert, relevant og effektiv.

    Tips:

    Vær tydelig på hvem som har ansvar for å forvalte et opplæringstiltak og opplæringsplan(er).

    Faktorer som påvirker digital sikkerhetskultur

    Norsk senter for informasjonssikring (NorSIS) har utviklet en metode for å beskrive og kartlegge den digitale sikkerhetskulturen i en virksomhet. I denne metoden deles digital sikkerhetskultur inn i følgende områder:

    • Holdninger til digitalisering og digital sikkerhet
    • Risiko-oppfattelse
    • Synet på styring og kontroll
    • Sikkerhetsatferd
    • Kunnskap, læring og interesse

    Nedenfor får du tips om hvordan du kan arbeide med de ulike områdene.

    Digital sikkerhetskultur
    Figur 4: Digital sikkerhetskultur.
    NorSIS

    Holdninger til digitalisering og digital sikkerhet

    De ansattes holdning til digitalisering og digital sikkerhet er en faktor som både kan bidra til å beskrive kulturen i organisasjonen, og en faktor som kan bidra til å påvirke bruken av digitale tjenester i positiv eller negativ retning.

    Virksomheten bør kartlegge den digitale sikkerhetskulturen for å avdekke hvilke holdninger og normer som er fremtredende i organisasjonen.

    Ledelsen bør

    • beslutte hvilke skrevne og uskrevne normer de ønsker i virksomheten, hvordan de skal kommunisere disse og gå foran med et godt eksempel.
    • kommunisere til organisasjonen hvordan virksomhetens verdier og visjon påvirker den digitale sikkerhetskulturen.
    • kommunisere til organisasjonen hvordan alt henger sammen innen digital sikkerhet, og at det den enkelte gjør innen sikkerhet har betydning for sikkerheten til virksomheten og til fellesskapet.
    • kommunisere til organisasjonen hva virksomheten gjør innen digitalisering og digital sikkerhet og hvorfor dette er viktig for virksomhetens oppdrag.
    • kommunisere til organisasjonen verdien av digitalisering for den enkelte, for virksomheten og for samfunnet, og hvorfor det er viktig å beskytte denne mot digitale risiko.

    Noen kulturer er mer individualistiske, det vil si at de setter individet mer i fokus, mens andre kulturer er mer orientert mot fellesskapets behov. I konteksten digital sikkerhetskultur, kan det bety at enkelte velger å følge regler som ivaretar sikkerheten til virksomheten som helhet, selv om de kan virke hemmende på noen. Et annet eksempel kan være at den enkelte velger å stå frem når de har gjort en sikkerhetstabbe slik at fellesskapet kan kunne lære av det, selv om det er belastende for den det gjelder.

    Arbeid med digital sikkerhetskultur omhandler derfor hvordan den ansatte forholder seg til fellesskapet. Virksomheten bør ha tanker om hva det digitale fellesskapet skal være. Dette uttrykkes gjerne ved å definere hvilke felles normer og adferdsmønstre en ønsker at organisasjonen skal ha innen digital sikkerhet. En del av dette handler om hvilket ansvar virksomheten ønsker at den ansatte skal ta for den digitale sikkerheten til fellesskapet han eller hun er en del av.

    Digital sikkerhetskultur handler også om den enkeltes optimisme for teknologi og digitalisering. Holdningene til digitalisering og digitale tjenester påvirker måten man forholder seg til teknologi. Mistillit til digitale tjenester eller frykt for sikkerhetshendelser og datakriminalitet er noen av utfordringene som virksomhetene må forholde seg til. Hvordan digitale tjenester utvikles og tilbys, hvordan sikkerheten ivaretas, hvilke sikkerhetshendelser som skjer og hvordan de blir håndtert, vil påvirke holdningene til det digitale.

    Risiko-oppfattelse

    Ved å kartlegge de ansattes holdninger til risiko, kan virksomheten få innsikt i hvilke tiltak som trengs for å sikre at oppfatningen av risiko stemmer overens med de faktiske forhold.

    Det er viktig at hele virksomheten har en felles forståelse av risiko. Dette forhindrer at noen ser noe som ubetydelig, mens andre vurderer det som svært risikofylt.

    Ledelsen bør:

    • kommunisere fakta omkring sikkerhetshendelser som rammer virksomheten, andre relevante virksomheter eller samfunnet for øvrig.
    • kommunisere hva som gjøres for å beskytte virksomheten, de ansatte og brukere av virksomhetens tjenester, mot digital risiko.
    • kommunisere hvordan de skal gjøre risikovurderinger og fortløpende tolke risikosituasjonen.
    • sørge for at virksomheten har kunnskap, metodikk og verktøy for å vurdere og håndtere den risiko de er ansvarlig for, og den risiko de må vurdere i det daglige.

    Finn mer informasjon om etablering av føringer knyttet til hvordan de ansatte skal forstå, vurdere og håndtere risiko i Digitaliseringsdirektoratets veileder «Internkontroll i praksis – informasjonssikkerhet».

    Digitalisering er i henhold til regjeringens "Digitaliseringsstrategi for offentlig sektor 2019-2025" en ønsket utvikling, men for ansatte i virksomheten og for brukerne av offentlige tjenester kan det imidlertid oppstå visse dilemma. Folk blir ikke bare oppfordret til å ta i bruk teknologi, de blir i noen tilfeller tvunget til det. Ansatte kan i liten grad påvirke hvilke digitale systemer som innføres på jobb, og befolkningen for øvrig blir i stor grad tvunget til å forholde seg til digitaliseringen av offentlige tjenester. Stadig mer av kommunikasjonen med det offentlige skjer på digitale flater, og muligheten til å utføre samme tjeneste «analogt» bortfaller. De ansatte må forholde seg til digitale administrative systemer for føring av timer og reiser, for at man skal kunne få lønn. Fagsystemer og kontrollsystemer blir primære verktøy for at de ansatte skal kunne gjøre den jobben som tidligere ble utført manuelt.

    Digitaliseringen i samfunnet er avhengig av tillit. Når virksomhetene digitaliseres forutsettes det tilstrekkelig tillit fra de ansatte og fra publikum. Først og fremst må tjenestene være sikre. Man vil kanskje ikke tolerere mange sikkerhetshendelser før man vil unngå å bruke de digitale tjenestene, og i verste fall miste tilliten til de som leverer dem.

    Kompetanse, erfaring og risiko-oppfattelse er knyttet til hverandre. For å kunne mene noe om risiko, kreves det at vi har noen kunnskaper om hva som kan gå galt. Ondsinnede vedlegg eller lenker i e-post er en av de mest vanlige måtene de kriminelle angriper virksomheter i Norge. De ansatte må ha kunnskap om at dette er mulig, før de kan forstå at det er en risiko. Det er imidlertid ikke nok å bare vite at det går an, en må også vite noe om hvor ofte slike ting skjer og hva som kjennetegner en utrygg e-post. Til slutt må de ha en oppfatning om konsekvensene, både for dem selv og for virksomheten, og hvordan de skal reagere dersom de mistenker noe unormalt.

    Dette er imidlertid ikke nok til å kunne forstå hvordan den enkelte oppfatter risikoen, og som en følge av det anta at han eller hun vil justerer sin adferd. Risiko-oppfattelse er ikke bare kalkulasjon av fakta, det har også mange subjektive faktorer. Har man vært utsatt for en liknende sikkerhetshendelse før, så er man kanskje mer forsiktig nå. Kanskje man som person er veldig forsiktig av seg, eller kanskje man er en «spenningssøker» som tenker at det meste går bra? Eller at man tenker «det skjer ikke med meg». Føler den ansatte at han mestrer digital sikkerhet, eller er han preget av usikkerhet og frykt for å gjøre feil?

    Synet på styring og kontroll

    Styring og kontroll er ledelsens redskap for å styre risiko, og det er også nødvendig på området digital sikkerhet. En del av dette arbeidet er å sørge for klare og tydelige føringer, og kontrollere at disse etterleves.

    Virksomheten bør kartlegge sikkerhetskulturen for å undersøke om virksomheten kjenner og følger føringene. Slik får man et bilde av hvordan menneskene i virksomheten opplever styring og kontroll.

    Ledelsen bør:

    • legge føringer (for eksempel regler og retningslinjer) som er forståelige og mulige for menneskene i virksomheten å følge.
    • igangsette tiltak for å øke virksomhetens motivasjon til å sette seg inn i føringene, og å følge disse. Sanksjoner og incentiver bør velges med omhu, og effekten av dem bør kartlegges og evalueres.
    • etablere varslingsordninger slik at organisasjonen kan varsle om hendelser og andre sikkerhetsrelaterte forhold. Det bør vurderes om ordningen skal legge til rette for anonym varsling.
    • kommunisere hvordan digital sikkerhet styres, hvem som setter føringene, hva som er den enkeltes ansvar, hvor den enkelte kan finne informasjon etc.
    • kommunisere relevante føringer ved tilsettinger, når reglene endres, eller når endringer i risikobildet tilsier at føringene bør kommuniseres på ny.

    Man kan finne mer informasjon om ledelsens arbeid med å sette og følge opp føringer i Digitaliseringsdirektoratets veileder «Internkontroll i praksis – informasjonssikkerhet».

    I denne sammenhengen ser vi på hvordan ansatte oppfatter styring og kontroll i en virksomhet der digitale tjenester og enheter er sentrale. Hvem skal bestemme hva som er akseptabel bruk av IKT og digitale tjenester, hvor grensene skal trekkes, og hvordan ansatte skal følge disse? Et sentralt tema er overvåking – hvordan sikrer vi at alle følger reglene som er satt?

    Vi ser også på hvem som har ansvaret for trygghet på nett. Hva forventes av virksomheten eller myndighetene, og hva kreves av den enkelte når det gjelder deres egen sikkerhetsatferd? Diskusjonen handler om å balansere individuell frihet med felles sikkerhet. Hvor mye styring, kontroll og overvåking er akseptabelt når både fellesskapets og individets sikkerhet står på spill?

    Sikkerhetsadferd

    Virksomhetens ledelse er en premissgiver for sikkerhetsadferden i organisasjonen. Primært handler det om at ledelsen må kommunisere hvilke forventninger de har til de ansatte, gå foran som gode forbilder og reagere på uønskede normer.

    Å kartlegge adferdsmønstre som en del av en digital sikkerhetskultur innebærer å undersøke hva adferdsmønstrene er, både for å lære mer om hva de ansatte faktisk gjør i ulike situasjoner, og for å kontrollere om virksomheten som helhet følger reglene og rådene som blir gitt.

    Ved å kartlegge sikkerhetskulturen kan virksomheten avdekke adferdsmønstre, og vurdere effekten av opplæring og holdningskampanjer.

    Ledelsen bør:

    • fastsette adferdsnormer, basert på hvilken adferd som er ønskelig, og gå foran med et godt eksempel.
    • innføre tiltak som motiverer organisasjonen til å etablere ønskede adferdsnormer.
    • innføre kompetanseheving basert på hva som er ønskede adferdsnormer.
    • fokusere på den enkeltes mestringsfølelse, ikke bare nødvendig kunnskap.
    • fokusere på at adferdsnormene må være mulig å gjennomføre for menneskene i organisasjonen. Det bør tas hensyn til at menneskene på ulike arbeidsplasser har ulik kompetansebakgrunn og -sammensetting.
    • legge til rette for at organisasjonen kan gjennomføre øving og trening innen digital sikkerhet. Dette bør tilrettelegges for den enkelte, for team og hele organisasjonen.

    Mange virksomheter gjennomfører en sikkerhetssamtale med nyansatte, og ledelsen kan benytte dette møtet til å formidle hvilke forventninger de har til de ansatte. Ledelsen kan da formidle hvilke sikkerhetsmål de ønsker å nå eller hvordan de ønsker at de ansatte skal opptre. Dette bidrar til å skape ønskede normer og til å påvirke sikkerhetskulturen i ønsket retning.

    Det er også andre som påvirker organisasjonens sikkerhetsadferd. Personer i organisasjonen som blir lyttet til i spørsmål om digital sikkerhet, vil selvsagt påvirke normene. Å identifisere hvem disse personene er, og gi dem ekstra kunnskap om hva virksomheten ønsker kan være en positiv driver i arbeidet med sikkerhetskultur.

    Også personer og aktører utenfor organisasjonen vil kunne påvirke den interne sikkerhetskulturen. Eksperter som uttaler seg i media, uttalelser fra nasjonale sikkerhetsmyndigheter eller medieoppslag om hendelser som skjer vil alle kunne føre til adferdsmønstre i organisasjonen.

    Innen digital sikkerhet er det visse typer adferd som en oppfordrer til, mens en advarer mot andre. I sum kan vi se på dette som adferdsmønstre som virksomheten bør følge med på for å kunne avdekke behov for å gjøre noe med noen av adferdstrekkene. Teknologien og hvordan vi bruker denne er hele tiden i endring. Det betyr at det hele tiden er behov for å oppdatere sikkerhetsopplæringen. Det man lærte for 10 år siden, kan nå være direkte feil.

    De ansatte blir pålagt å følge en rekke sikkerhetsbestemmelser. Det kan handle om at de ikke skal dele passordet sitt med andre eller å vurdere om e-post man mottar kan være ondsinnet. Dette er en del av dagens normative beskrivelse av hva sikker digital adferd er, og man oppfordrer til dette for blant annet å redusere faren for datakriminalitet, for tap av informasjon og for at man skal bli utsatt for manipulering.

    Kunnskap, læring og interesse

    Svært mye av hverdagen til de ansatte handler om å forholde seg til IKT og digitale tjenester. Alle ansatte må ha et sett med grunnleggende digitale kunnskaper for at de skal kunne ta del i arbeidslivet. Spørsmålet er: Hvor og hvordan får de denne kunnskapen? Noen virksomheter gir sine ansatte opplæring, men mange blir overlatt til å lære dette på egenhånd og på uformelle arenaer.

    Virksomheter som skal arbeide med digital sikkerhetskultur bør derfor kartlegge hvordan deres ansatte lærer om digital sikkerhet. Kanskje har virksomheten en struktur og prosess der opplæring på arbeidsplassen primært skjer ved at folk lærer opp hverandre? Kanskje er arbeidet av en slik natur at det ikke er aktuelt å samle alle ansatte til klasseromsundervisning? Kanskje noen metoder for opplæring virker bedre enn andre?

    Virksomhetene kan undersøke dette, og velge en metode for opplæring som «virker best» for sine ansatte, og samtidig sørge for at det som læres er korrekt, og ikke basert på utdatert kunnskap eller misforståelser.

    Virksomheten bør kartlegge kunnskapen i organisasjonen og hvordan læringsprosessene skjer, for å kunne evaluere effekten av kunnskapsheving.

    Ledelsen bør:

    • beslutte hva det er behov for at virksomheten kan om digital sikkerhet, og utarbeide kompetanseplaner og opplæringsplaner.
    • sørge for at alle får et felles kunnskapsgrunnlag ved ansettelse.
    • sørge for jevnlig kunnskapsheving når noe skjer, basert på sikkerhetshendelser, ved omorganiseringer eller ved innføring av nye digitale systemer.
    • stimulere til læringsprosesser som er effektive og som passer virksomheten (For eksempel e-læring, klasseromsundervisning eller foredrag).

    I alle kulturer blir noen mennesker lyttet mer til enn andre. Enten det er ledere eller eksperter på sine områder; noen får mer taletid, og gjennom det større mulighet til å påvirke oss andre. Disse menneskene har stor påvirkning på hvordan normene dannes og hvordan kulturen endres. De man beundrer og lytter til påvirker fellesskapets verdier og holdninger. Gjennom dette påvirker de hvordan man forholder seg til andre mennesker og hvilken adferdsmønstre som etableres.

    Dette spiller en stor rolle, for hva som ansees for å være “riktig kunnskap” endres over tid, og de som det lyttes til får mulighet til å sette agendaen og definere hva som er rett og galt. Hvordan, og av hvem, man lærer kan derfor få stor innvirkning på hva man faktisk lærer, og dermed hvor godt rustet man er til å motvirke digitale trusler.

    I et samfunn som blir stadig mer digitalisert, er det grunn til å tro at de som har interesse for teknologi og IT har en fordel i forhold til de som ikke har slike interesser. Interesser former våre holdninger, ferdigheter og kunnskaper. Interesse påvirker også hvem vi vil assosiere oss med, hvem vi lytter til og dermed hvem vi lærer fra. Med interesse følger det bevissthet, nysgjerrighet og tid. Dette er hjørnesteiner i all læring. Som en følge av dette er det grunn til å anta de som har slike interesser lærer raskere og «riktigere» enn de som ikke har det.

    Relatert innhold

    Bakgrunnsinformasjon for kompetanse- og kulturutvikling innen digital sikkerhet
    Begreper for kompetanse- og kulturutvikling innen digital sikkerhet

    Send oss gjerne en e-post om du har spørsmål eller tilbakemeldinger

    Kompetansemiljø for informasjonssikkerhet

    Endringer i januar 2025.

    Vi har oppdatert innholdet på nettsiden for å forbedre brukeropplevelsen. Endringene inkluderer:

    • Klarere og mer presis tekst, antall ord er redusert for å gjøre innholdet enklere å lese og forstå.