Veileder for kartlegging av digital sikkerhetskultur
Når du skal gå i gang med å utvikle kompetanse og kultur innen digital sikkerhet i virksomheten, anbefaler vi at du starter med å kartlegge den digitale sikkerhetskulturen.
Om veiledningen
For at offentlige virksomheter skal kunne arbeide strukturert med digital sikkerhetskultur, er det behov for verktøy, metoder og veiledninger. Når en virksomhet definerer sine mål og strategier for den digitale sikkerheten, må det finnes metoder for å måle effektene av tiltakene i handlingsplanen.
Gjennom å tilpasse en metode for kartlegging har det offentlige fått et slikt verktøy. Metoden som er beskrevet i denne veiledningen er basert på NorSIS’ sin metode for å måle sikkerhetskulturen i befolkningen. Det gis ut årlige rapporter fra NorSIS og alle kan fritt lastes ned fra publikasjonsområdet på NorSIS sine hjemmesider. Som en del av forberedelsene til kartleggingen anbefales det å sette seg inn i disse rapportene. Rapportene kan også brukes som sammenligningsgrunnlag under analysearbeidet.
Denne veiledningen beskriver metoden for kartlegging av digital sikkerhet og hvordan metoden kan tas i bruk av den enkelte virksomhet. Det er også utarbeidet en «Veileder i kompetanse- og kulturutvikling innen digital sikkerhet», som beskriver hvordan hver enkelt virksomhet i statsforvaltningen kan arbeide med sin digitale sikkerhetskultur.
Tilpassingen av metoden er gjennomført av Norsk senter for informasjonssikring med støtte fra Digitaliseringsdirektoratet (tidligere Difi), Statens Kartverk, OsloMet - Storbyuniversitetet, Statsforvalteren i Oslo og Viken (tidligere Fylkesmannen i Oslo og Akershus) og Rælingen kommune.
Målgruppen for veiledningen er ledere og personell i offentlige virksomheter som skal kartlegge virksomhetens digitale sikkerhetskultur. Denne veiledningen omfatter prosessen for forberedelse, gjennomføring, analyse og presentasjon av kartleggingen.
Hensikten med kartleggingen er å fremskaffe informasjon som gir økt innsikt i hvordan den menneskelige faktoren påvirker den digitale sikkerheten, og en bedre forståelse av effekten av tiltak som virksomheten gjennomfører for å øke de ansattes bevissthet, holdninger, kunnskaper og adferd innen digital sikkerhet.
I Direktoratet for forvaltning og ikt (Difi) sin rapport 2018:4 om «Arbeidet med informasjonssikkerhet i statsforvaltningen», kommer det fram at kun 40% av statlige virksomheter har kartlagt sin sikkerhetskultur. Kjennskap til en virksomhets digitale sikkerhetskultur er et viktig grunnlag for virksomhetens styringsprosesser innen digitalisering og systematiske arbeid med digital sikkerhet. En kartlegging vil kunne gi svar på hvordan de ansatte forholder seg til digital sikkerhet og hvordan de vil forholde seg i møte med digitale trusler.
For denne veiledningen bør lesere være kjent med sentrale begreper som benyttes i veiledningsmaterialet om kompetanse- og kulturutvikling innen digital sikkerhet:
Overordnede spørsmål for kartleggingen
Kartleggingen av digital sikkerhetskultur skal besvare følgende overordnede spørsmål:
- Hva karakteriserer den digitale sikkerhetskulturen i virksomheten?
- I hvilken grad påvirker opplæring i digital sikkerhet sikkerhetsadferden og sikkerhetskompetansen til alle i virksomheten?
- I hvilken grad tar alle i virksomheten ansvar for den digitale sikkerheten i virksomheten?
- Hvordan forholder alle i virksomheten seg til digitale trusler som kan ramme virksomheten?
Forankring og beslutning
Kartleggingen må forankres i virksomhetens ledelse, for å sikre at kartleggingen fremskaffer riktig styringsinformasjon og for å sikre at tiltakene som kan følge kartleggingen er forankret i virksomhetens risikostyring.
En god forankring av kartleggingen vil også øke datakvaliteten. Erfaring med slike kartlegginger viser at svarprosenten blant de ansatte øker når ledelsen gir en tydelig oppfordring til å delta.
Hva må du tenke på før du begynner?
Det er viktig å klargjøre hvorfor virksomheten skal gjennomføre en kartlegging av den digitale sikkerhetskulturen. Hva er virksomhetens hovedutfordringer innen digital sikkerhet, og hvordan kan en kartlegging av digital sikkerhetskultur bidra til å gi svar på utfordringene?
Dette bør kobles til de overordnede spørsmålene, og det bør vurderes hvilke svar som ønskes, og hvilke svar som forventes. Da vil man ha mer å sammenligne med under analysearbeidet.
Dersom det er første gang virksomheten skal gjennomføre en slik kartlegging må det skapes en forståelse både hos ledelsen og de ansatte for hva kartleggingen skal brukes til. En kartlegging kan enten bestå av en eller flere målinger over tid. Dersom det er tenkt som en serie målinger for å kunne vurdere utvikling av den digitale sikkerhetskulturen i virksomheten, må dette komme klart fram, samtidig som man angir et forventet intervall mellom målingene i serien.
Det kan også være at man ønsker å kartlegge den digitale sikkerhetskulturen før og etter man iverksetter et eller flere tiltak for å påvirke kulturen, og gjennom målingene kunne se om tiltakene har den ønskede effekten.
Dersom målingen er en oppfølging av tidligere målinger vil det ikke være like stort behov for forankring, da dette må være gjort før hele kartleggingen starter.
Målgruppe
Hvem som skal være målgruppe for kartleggingen må klargjøres tidlig. Digital sikkerhetskultur handler om fellesskapets normer, og det bør derfor tilstrebes å gjøre målgruppen så omfattende som mulig i virksomheten. Det anbefales å inkludere alle ansatte i målgruppen, og dersom man har fast innleid personell kan disse også med fordel inkluderes. Dersom målgruppen har for få respondenter vil det statistiske grunnlaget bli for lite, og resultatene bli lite representative for virksomheten.
Kartleggingen beskrevet i denne veiledningen gjøres med en eller flere spørreundersøkelser, også kalt målinger. Besvarelse av undersøkelsen krever ingen spesielle forkunnskaper, og er utviklet med tanke på at alle ansatte inkludert ledelsen skal delta. Det er ikke ment at nøkkelpersonell skal svare på vegne av virksomheten.
Det kan være ønskelig for virksomheten å ta ut resultater for enkeltavdelinger ol. I slike tilfeller bør det legges til et spørsmål i første del, der den enkelte kan angi hvilken avdeling eller organisatorisk enhet man tilhører. Se spørsmål 2 i spørsmålssettet.
Personvern
For at de som skal bidra i kartleggingen skal svare ærlig er det viktig at svarene gis anonymt. Er gruppen som skal besvare kartleggingen liten, kan bakgrunnsvariablene i spørsmålene 1-5 være med på å snevre inn, slik at det vil være mulig å identifisere enkeltpersoners besvarelse. En viktig del av forberedelsene er derfor å vurdere om dette kan være tilfellet i egen virksomhet. For eksempel jobber det kanskje bare én person over 50 år som har vært ansatt i mer enn 10 år i den angitte seksjonen.
Gjør alltid en vurdering hvilke av disse spørsmålene i spørsmålssettet som skal være med. Et eller alle kan utelates.
Kartleggingen bør også forankres i virksomhetens personvernfora, eller som minimum forelegges virksomhetens personvernombud før gjennomføring.
Beslutning
Beslutning om gjennomføring av en kartlegging av digital sikkerhetskultur tas av virksomhetens ledelse basert på en vurdering av overstående faktorer. Når beslutningen er tatt bør det utpekes en prosessansvarlig som gis ansvaret for planlegging, gjennomføring, analyse av kartleggingen og presentasjon av resultatene.
Planlegging - før kartleggingen begynner
Før kartleggingen bør virksomheten lage en plan for arbeidet. Hovedmilepælene i en slik plan kan være:
- Avholde oppstartsmøte
- Klargjøre spørsmålssettet
- Informere om kartleggingen
- Sende ut spørreundersøkelse
- Purre
- Sette sammen analyseteam
- Analyse og syntese
- Legge frem resultatene til ledelsen
- Kommunisere resultatene til de ansatte
1. Avholde oppstartsmøte
Følgende bør være representert på oppstartsmøtet: Ledelsen, prosessansvarlig, den som har det utførende ansvaret, HR og tillitsvalgte. Har man identifisert andre nøkkelpersoner som skal delta i arbeidet bør disse også være til stede.
I oppstartsmøtet bør ledelsen legge frem sine prioriteringer og krav til hva kartleggingen skal brukes til, og hvordan resultatene skal analyseres og presenteres.
Oppstartsmøtet er også en god arena for å kontrollere at virksomheten har den kompetansen som er nødvendig for å gjennomføre kartleggingen. Spesielt viktig er det at man har nødvendig kompetanse til å sette sammen et godt analyseteam. Hvilke funksjoner og kompetanse som bør inngå i analyseteamet framgår av kapittelet «Sammensetting av analyseteam». Har man ikke nødvendig kompetanse i egen organisasjon bør man vurdere å hente inn ekstern støtte i arbeidet.
2. Klargjøre spørsmålssettet
Før kartleggingen kan starte må spørsmålssettet som skal benyttes klargjøres.
Hvordan spørsmålssettet klargjøres er avhengig av hvilket verktøy som er valgt, og omhandles ikke i denne veiledningen. Men det finnes mange ulike verktøy som kan benyttes for gjennomføring av spørreundersøkelsen. Noen eksempler på verktøy er Questback, SurveyMonkey, Easyfact, EasyQuest, Microsoft Forms eller Google Skjemaer. Virksomheten må selv vurdere mulige verktøy og velge et som er egnet til formålet.
Det er viktig å koordinere med IT-avdelingen (IT-leverandør) for å forvisse seg om at utsending av spørsmålssettet og mottak av besvarelser lar seg gjennomføre.
Når spørsmålssettet er klargjort bør man gjøre en kort test for å verifisere at det fungerer slik man ønsker. Spørsmålssettet kan lastes ned her:
Du kan også laste ned skjermbildeeksempler av hvordan spørsmålssettet vil kunne se ut i et verktøy for gjennomføring av spørreundersøkelse:
Gjennomføring
3. Informere om kartleggingen
Det er viktig at alle som skal omfattes av kartleggingen mottar informasjon om dette i forkant, for å skape forståelse for hvorfor en slik kartlegging skal gjennomføres. For å tydeliggjøre at kartleggingen er forankret i ledelsen, bør det være virksomhetens leder som formidler informasjonen i forkant av selve kartleggingen. Som minimum må avsender være en person som sitter i ledergruppen. Det er viktig at ledelsen oppfordrer så mange som mulig til å delta i kartleggingen. Dette vil kunne være med på å øke oppslutningen, og gi bedre statistisk grunnlag for analyse av svarene.
Informasjonen kan gis på et allmøte, via intranett, e-post eller på annet vis. Det viktige er at den når fram til alle som skal delta, og det bør skje mindre enn en uke før kartleggingen starter, men minst to dager før slik at informasjonen er aktuell.
Informasjon om kartleggingen bør inneholde:
- Hva resultatet av kartleggingen skal brukes til.
- Presiseres at den er anonym slik at resultatene ikke kan benyttes til å identifisere den enkelte.
- Klargjøre om det er en enkeltstående måling, om det er en serie målinger som skal skje med jevne mellomrom, eller om det skal utføres to målinger før og etter et spesielt tiltak.
- Hvilket verktøy som benyttes, og hvem som er avsender av selve spørreundersøkelsen.
- Hvordan eventuelt en lenke til spørreundersøkelsen er utformet, slik at den enkelte kan aktivere lenken uten å være redd for å gjøre noe som strider med virksomhetens policy.
- Overordnet hva spørsmålene handler om.
Dersom virksomheten har gjennomført tilsvarende kartlegging tidligere, kan informasjonen til de ansatte kortes noe ned, men det er fortsatt viktig at de blir gjort kjent med hvorfor kartleggingen skal gjennomføres.
Forslag til tekst med informasjon som kan sendes ut i forkant kan lastes ned her:
4. Sende ut spørreundersøkelse
Utsendelsen av spørreundersøkelsen bør inneholde informasjon om hva svarfristen er og hva resultatene skal brukes til. Det anbefales at virksomheten gjennomfører selve spørreundersøkelsen over en periode på ca. to uker. Dette er i utgangspunktet lenge nok til at de fleste har en mulighet til å svare, samtidig drar ikke kartleggingen ut i tid.
Det er viktig at utsendelsen gjenkjennes som den tidligere varslede kartleggingen. Dette gjøres gjennom en konsistent tekst som viser til tidligere informasjon. Det bør samtidig gis en tydelig oppfordring om å besvare undersøkelsen. Dersom det tidligere er angitt et tidsrom for utsendelse av spørreundersøkelsen, bør dette overholdes.
Forslag til tekst som skal benyttes for utsendelse av spørreundersøkelse kan lastes ned her:
5. Purre
Med utgangspunkt i at perioden for spørreundersøkelsen er på to uker, anbefales det at det sendes ut en purring omtrent midtveis i perioden, eller noen dager før kartleggingen avsluttes. Det anbefales at det er avsender for spørreundersøkelsen som også er den som står som avsender på purringen. Dersom det er valgt et verktøy som tilbyr en purrefunksjon, kan denne settes opp til å purre automatisk på et forutbestemt tidspunkt, og kun til de som ikke har besvart.
Alternativt kan det sendes ut en generell oppfordring til alle som har mottatt spørreundersøkelsen.
Purring bør også kunngjøres på virksomhetens intranett eller tilsvarende, for å gjøre de ansatte oppmerksomme på fristen for å besvare undersøkelsen.
Forslag til tekst som kan benyttes ved purring kan lastes ned her:
Analysere resultatene
Formålet med analyseprosessen er å vurdere resultatene av spørreundersøkelsen som er gjort i forbindelse med kartleggingen i virksomhetens kontekst. Målet er at analysene skal produsere anvendbare svar på de overordnede spørsmålene. Slike analyser følger ikke nødvendigvis en «vannfallsmetodikk», der en vurdering alltid kommer før den neste. I stedet bør en se på analyseprosessen som en iterasjonsprosess, der funn og kontekstvurderinger gjør at en bør vende tilbake til tidligere vurderinger for å se om ny informasjon medfører at disse må vurderes på nytt.
Eksempel: Analysegruppen vurderer en indikator, og lager en hypotese som forklarer resultatet. Senere i analyseprosessen kommer analysegruppen til en annen enkeltindikator, der vurderingen kommer i motstrid med hypoteser de tidligere har laget. Kontekstinformasjon kan også påvirke hypotesene, slik at det kan være behov for å gå tilbake til vurderinger som tidligere er gjort, dersom det foreligger nye vurderinger som enten styrker eller svekker disse.
6. Sette sammen analyseteam
Den som får delegert det utøvende ansvaret for digital sikkerhetskultur bør være prosessleder for analyseprosessen. Videre bør teamet som skal gjennomføre analyseprosessen være bredt sammensatt for å gi analyseprosessen den nødvendige kontekst og innsikt i de aktuelle problemstillingene.
Analysegruppen kan bestå av personell fra:
- CISO / Digital sikkerhet
- HR
- IT
- HMS
- Juridisk
- Tillitsvalgte / ansattrepresentanter
- Nøkkelpersoner fra aktuelle områder
- Representanter fra ledelsen/beslutningstakere
Man bør i forkant avklare hvilken type kompetanse analysegruppen bør ha tilgang på, og sørge for at denne enten hentes fra interne eller eksterne ressurser. Dette kan for eksempel være eksperter innen digital sikkerhet, juridisk kompetanse, spesialister innen organisasjonspsykologi eller spesialister i statistiske analyser.
7. Analyse og syntese
Spørreundersøkelsen består av ca. 30 spørsmål som er kategoriserte på områdene:
- Holdninger til digitalisering og digital sikkerhet
- Risiko-oppfattelse
- Synet på styring og kontroll
- Sikkerhetsadferd
- Kunnskap, læring og interesse.
I tillegg er det noen demografiske spørsmål om den som besvarer.
Analyseprosessen bør tilpasses den enkelte virksomhets ambisjons- og modenhetsnivå innen digital sikkerhet. Noen virksomheter har gjerne startet med konkrete prosesser innen digital sikkerhetskultur nylig, mens andre har arbeidet med dette gjennom mange år. Analyseteamets sammensetting, tiden man setter av til analysene og mengde og type kontekstinformasjon vil også være dimensjonerende for hvilke analyser og synteser man kan gjennomføre.
I analyseprosessen anbefaler vi å ta stilling til det følgende:
Vurdering av enkeltindikatorer
Indikatorene kan vurderes selvstendig, altså at man ikke ser dem i sammenheng med andre indikatorer eller med kontekstinformasjon.
Eksempel: Virksomheten ønsker å måle hvorvidt de ansatte kjenner til om virksomheten har regler for digital sikkerhet. Spørsmålet «Har virksomheten din regler for digital sikkerhet?» kan da brukes alene til å gi data om dette. Svaralternativene er «Ja», «Nei» og «Vet ikke». Prosentandelen av dette vil gi en indikasjon på hvor mange som faktisk vet at virksomheten har regler. Dette kalles derfor en indikator.
For organisasjoner/grupper som ikke har arbeidet mye med analyse, eller om det kun er foretatt én spørreundersøkelse, vil det være enklest å begynne med vurdering av enkeltindikatorer.
En svakhet ved å kun vurdere indikatorene hver for seg er at man kan risikere å unnlate å ta med relevant informasjon som kan styrke eller svekke det aktuelle resultatet. I det eksempelet over ville man kanskje tolke resultatet annerledes dersom man samtidig visste at reglene nettopp var blitt innført, eller at man før kartleggingen hadde gjennomført et større kommunikasjonsarbeid omkring reglene.
Sammenstilling av indikatorer
For å få et mer sammensatt bilde, kan flere indikatorer sammenstilles. Det er enklest å begynne med å sammenstille de indikatorene som hører til samme område. For eksempel består Risiko-oppfattelse av spørsmålene 11-14 i spørsmålssettet:
- 11) I hvilken grad er du i stand til å vurdere hva som er trygt eller utrygt å gjøre på nett?
- 12) I hvilken grad er du bekymret for at det følgende skal hende deg?
- 13) I hvilken grad forbinder du følgende aktiviteter med høy risiko?
- 14) Hva mener du utgjør den største risikoen?
Ved å sammenligne svarene på disse spørsmålene får man et mer sammensatt bilde av hvordan risiko-oppfattelsen er i virksomheten.
Spesielt er sammenstilling av indikatorer verdifullt når det er gjort to eller flere undersøkelser, og man kan se hvordan utviklingen er.
For å svare på de overordnede spørsmålene forutsetter det at analyseteamet sammenstiller flere indikatorer på tvers av områdene. Spørsmålet «Hva karakteriserer den digitale sikkerhetskulturen i virksomheten» omfatter i praksis alle indikatorene i spørreskjemaet, og gir det totale bilde av sikkhetskulturen til virksomheten.
Tilsvarende vil spørsmålet «I hvilken grad påvirker opplæring i digital sikkerhet sikkerhetsadferd og kompetanse til alle i virksomheten?» primært omfatte de indikatorene som omhandler sikkerhetsadferd og kompetanse, læring og interesse. Ved å sammenstille flere indikatorer kan analyseteamet utvikle et mer korrekt og nyansert bilde på situasjonen og utfordringene.
Under kan du laste ned en en oversikt over hvordan indikatorene relaterer seg til de overordnede spørsmålene og til områdene som kartlegges:
Vurdering av kontekst
Hva den enkelte tenker, kan og gjør omkring digital sikkerhet, blir påvirket av det som skjer rundt dem. Sikkerhetshendelser de opplever selv, eller hører om gjennom interne eller eksterne kanaler, kan påvirke deres holdninger til digitale trusler. Interne prosesser kan påvirke deres kunnskaper og adferd. Når analyseteamet tar i betraktning slik kontekstinformasjon, kan det gi verdifull innsikt om resultatene av kartleggingen.
Eksempler på kontekstinformasjon kan være: Konkret informasjon som er kommunisert til de ansatte, tallgrunnlag som viser hvor mange hendelser som er innrapportert eller resultater fra andre kartlegginger som berører de ansatte.
Hva som er relevant kontekst må vurderes i den enkelte virksomhet.
Quick wins
Spørsmål 35 er utformet som et fritekstspørsmål der respondenten kan komme med sin personlige mening om hva som er den største utfordringen innen digital sikkerhet for organisasjonen. Ved å sammenstille alle svarene som er gitt på dette spørsmålet kan det være mulig å identifisere områder, hvor man gjennom raskt å iverksette tiltak kan oppnå en forbedring på kort tid.
Sammenligning av resultater
Når virksomheten kartlegger den digitale sikkerhetskulturen over tid, kan det etableres en metrikk for de områdene som virksomheten er spesielt opptatt av. På den måten kan virksomheten observere hvordan disse områdene utvikler seg over tid, sett i sammenheng med de målene som virksomheten har satt for områdene. Eksempel: Virksomheten har satt som mål at alle ansatte skal ha god sikkerhetsmessig adferd. Ved å kartlegge dette over tid kan virksomheten undersøke om sikkerhetsadferden er på ønsket nivå og om den utvikler seg i positiv eller negativ retning.
Virksomheten kan også bruke resultatene til å sammenligne funn i egen virksomhet med andre offentlige virksomheter for å få en indikasjon på om det er et potensiale for å lære noe av sikkerhetsarbeidet i andre virksomheter.
Presentasjon av resultatene
8. Legge fram resultatene til ledelsen
Resultatet av analyseprosessen er styringsinformasjon for virksomhetens arbeid med digital sikkerhet. Prosessansvarlig må presentere resultatene, og eventuelle anbefalinger, for ledelsen slik at det er koordinert med beslutningsprosessene, budsjettprosessene og styringsdialogen i virksomheten.
9. Kommunisere resultatene til de ansatte
Videre bør de ansatte orienteres om resultatene, ledelsens vurderinger og beslutninger og hvilke tiltak som vil bli iverksatt i tiden fremover. Eksempelvis kan resultatene tas opp i arbeidsmiljøutvalg eller tilsvarende.
Virksomheten kan også vurdere å bruke resultatene i både intern og ekstern kommunikasjon.
Videre arbeid
Når kartleggingen og analysen av svarene er gjennomført, og ledelsen (og de ansatte) har fått presentert funnene, må resultatene inngå som et grunnlag for videre arbeid med digital sikkerhetskultur i virksomheten. Med bakgrunn i resultatene vil ledelsen kunne sette nye mål for det digitale sikkerhetsarbeidet, og utvikle tiltak som kan være med på å endre den digitale sikkerhetskulturen i virksomheten i den retning ledelsen ønsker det.
Det er også utarbeidet en egen veiledning for hvordan man kan arbeide med kompetanse- og kulturutvikling innen digital sikkerhet. Denne finner du ved å følge lenken nedenfor:
Kartleggingsverktøy (last ned)
Her kan du laste ned kartleggingsverktøyet som presenteres i teksten i sin helhet: