Under våren har vårt Dizparc-kontor i Jönköping haft förmånen att samarbeta med två studenter som inom ramen för sitt exjobb undersöker just vilka faktorer som påverkar, i synnerhet små och medelstora verksamheter, när så kallade medvetenhetshöjande åtgärder ska implementeras för att mota cyberattacker i grind.
Hannes Jonsson läser just nu sista året på utbildningen “IT-infrastruktur och nätverksdesign” vid Jönköpings universitet. För ett år sedan klev han in genom dörrarna på Dizparc i Jönköping för att påbörja sin första praktikperiod och har blivit kvar.
“Min första praktikperiod på Dizparc i Jönköping övergick direkt till ett sommarjobb som sedan ledde till en timanställning parallellt med studierna. Jag har fått förmånen att jobba i både supporten och med olika typer av projekt tillsammans med cybersäkerhetsteamet. Just nu är jag och min medskribent Johannes i full gång med att skriva vårt exjobb och när utbildningen är klar påbörjar jag en anställning hos Dizparc”, berättar Hannes.
En aktiv ledning ökar säkerhetsnivån
Hannes och Johannes exjobb är fokuserat på att undersöka vilka faktorer som påverkar hur väl små och medelstora företag lyckas i införandet av medvetenhetshöjande åtgärder kopplat till cybersäkerhet. Att klassiska faktorer som tid, pengar, personal och kunskap spelar roll lyckades de båda skribenterna snabbt ringa in, men utöver dessa hittade de en annan faktor som visar sig spela stor roll.
“I våra egna mindre undersökningar och inom ramen för den forskning vi tagit del av har vi identifierat en viktig faktor som spelar roll i införandet av medvetenhetshöjande åtgärder. Den handlar kort och gott om hur stort ledningens intresse för att adressera cybersäkerhetsfrågan är. Ju mer insatt en ledningsgrupp är inom IT-säkerhetsfrågor, desto mer engagemang verkar det bli ute i organisationen för området. Engagemanget behöver alltså i första hand komma från ledningshåll och sedan sprida sig vidare ut i organisationen. Ledningen behöver utöver att vara engagerad också aktivt arbeta med att hitta sätt att sänka trösklarna för sina medarbetare att ta till sig information kopplat till cybersäkerhetsområdet som för många kan kännas både främmande och komplext”, förklarar Hannes.
Sänkta trösklar och anpassning blir nycklar till framgång
Att sänka trösklarna och lyckas anpassa utbildningen som medarbetarna får så att den passar organisationen är en viktig del i arbetet med att höja medvetenheten. I sitt exjobb har skribenterna identifierat ett antal områden som de rekommenderar ledningsgrupper att titta närmare på för att lyckas i sitt arbete med att bygga en stabil säkerhetskultur.
- Anamma de ramverk som finns inom området och luta er mot dessa som stöd i cybersäkerhetsarbetet. Exempel på ramverk är det som MSB tillhandahåller samt mer globala i form av ENISA och NIST. Mindre eller medelstora bolag har ofta koll på GDPR och NIS2 då de är tvingande, men rekommendationer kring utbildning av medarbetare blir ofta inte lika uppmärksammade.
- Låt inte tid och pengar bli anledningar till att era medarbetare inte får adekvat utbildning. Det blir en ledningsfråga att prioritera den här typen av insatser i det akuta läge vi befinner oss i med en ständigt ökande hotbild.
- Anpassa de färdiga utbildningar som ni köper in så att de passar just er verksamhet och den digitala mognadsgraden hos era medarbetare. Viktigast är att era medarbetare kan ta till sig utbildningarna på ett bra sätt och att de känns som något som bidrar i vardagen snarare än ett hinder.
- Lyft fram att cybersäkerhet inte enbart är en uppgift för IT-avdelningen. Få alla medarbetare att förstå vikten av att utbilda sig inom området även om de inte själva jobbar i en roll kopplad till IT-säkerhet. Alla som har en mailadress utgör en potentiell risk och bör få verktyg för att kunna agera på rätt sätt.
- Undvik utbildningar med långa föreläsningar. Medarbetare tenderar att uppskatta korta, koncisa föreläsningar med tydliga rekommendationer som de direkt kan använda sig av i det dagliga arbetet. Exempel på detta kan vara att införa verktyg som ger direkta rekommendationer i samma ögonblick som när något ska utföras, exempelvis välja ett nytt lösenord.
- Utvärdera löpande hur utbildningsinsatserna tas emot och hur mycket av dem som era medarbetare tagit till sig. Bara för att ni sjösatt en utbildning innebär det inte alltid att alla har förstått. Är de metoder ni valt att använda effektiva eller behöver ni justera något?
“I vårt arbete har vi ringat in ett antal saker som verksamheter själva kan tänka på. En del av de verksamheter som har en egen IT-avdelning upplever att det är svårt att veta vilka insatser som bör införas och hur de allmänna rekommendationerna ser ut. Många som vi har pratat med använder sig av någon typ av konsultstöd och upplever då att frågorna kopplat till cybersäkerhet hanteras väl inom ramen för det”, avrundar Hannes.