«Informasjonssikkerhetskultur» Oppsummerende rapport fra Sikkerhetstoppmøtet

Transkript

1 «Informasjonssikkerhetskultur» Oppsummerende rapport fra Sikkerhetstoppmøtet

2

3 Innhold 5 Innledning 6 Tiligere tema 7 Hvilke utfordringer har vi med informasjonssikkerhetskultur? 7 Om begrepet informasjonssikkerhetskultur 8 Hvordan kan vi karakterisere informasjonssikkerhetskultur? 8 Kan vi måle informasjonssikkerhetskultur? 9 Kan vi måle effekten av informasjonssikkerhetskultur? 10 Hvordan utvikles og påvirkes informasjonssikkerhetskultur? 11 RUNDE 2 11 Hvordan kan informasjonssikkerhetskultur påvirke verdiskapning i bedriften? 11 Hva gjør norske virksomheter for å påvirke informasjonssikkerhetskulturen? 12 Hvordan evalueres effekten av tiltak innen informasjonssikkerhetskultur? 13 Hvem mener dere påvirker informasjonssikkerhetskulturen mest i en virksomhet? 14 Hvordan kan kriminelle utnytte svakheter i informasjonssikkerhetskulturen i bedriftene? sikkerhetstoppmøtet 3

4

5 Innledning Informasjonssikkerhetskultur er et tema som angår de fleste. Både vi som arbeider med informasjonssikkerhet, men ikke minst folk flest som er opptatt av at det skal være trygt og sikkert å bruke digitale tjenester. Digitaliseringen som pågår i offentlig og privat sektor berører alle, og den forutsetter til en viss grad at vi skal forstå hvilken risiko vi utsetter oss for, og hva vi skal gjøre dersom vi blir utsatt for datakriminalitet, hets og mobbing på nett eller at vår informasjon blir ødelagt eller kommer på avveie. Informasjonssikkerhetskultur omtales gjerne som summen av våre verdier, meninger, holdninger, interesser, kunnskap, skikker og handlinger. Begrepet er gjenstand for diskusjon i fagkretsene, og er ganske sammensatt og komplekst. Men; Slik er jo menneskets natur. Vi mener én ting, men gjør noe annet. Vi kan ha irrasjonelle forestillinger om risiko, og vi har en tendens til å se årsak og virkning der det ikke er noen. Alt dette blir gjerne oppsummert i det vi kaller «sikkerhetskultur». sikkerhetstoppmøtet 5

6 Tidligere tema Hvordan hindre informasjonslekkasje fra virksomhetens styre? Utfordringer med outsourcing, offshoring og cloudbaserte løsninger Risikostyring i virksomheten Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden Hendelseshåndtering fra oppdagelse til anmeldelse Tillit til sikkerheten hos samarbeidspartnere og leverandører Monitorering av de ansatte løsningen på tillitskrisen til mobile ansatte? Ledelsesforankring og ISMS Sikkerhetskultur Applikasjonssikkerhet har vi kontroll? Informasjonssikkerhet i verdikjeden klarer vi å tenke på alt? Beredskap Kritisk infrastruktur Informasjonstyveri og industrispionasje Digitalisering og balansen mellom næringsutvikling og sikkerhet Er det utfordringer med ny personvernforordning? Risikoforståelse 6 sikkerhetstoppmøtet

7 Hvilke utfordringer har vi med informasjonssikkerhetskultur? Om begrepet informasjonssikkerhetskultur Sikkerhetstoppmøtet mener at vi bruker begrepet kultur fordi folk forstår det. De fleste mener at folk vet omtrent hva kultur er, selv om det er litt mykt og uformelig. Problemet da er snarere at folk ikke vet hva informasjonssikkerhet betyr. Mange, selv fagfolk, har vidt forskjellig oppfatning om hva informasjonssikkerhet er. Det har kanskje noe å gjøre med informasjonssikkerhetskulturen det også? Flere synes det er et greit begrep med utgangspunkt i NSMs definisjon, mens andre mener at en like gjerne kan bruke begrepet «code of conduct» for å beskrive ønsket adferd innen informasjonssikkerhet. En annen forteller at NSMs definisjon er ikke nødvendigvis feil, men ser ikke at miljøet benytter seg av annet enn adferds komponenten. Det er heller ingen refleksjon rundt hva det andre er. Følgelig er ikke definisjonen nødvendigvis feil, men heller anvendelsen. Hos oss har det ikke vært noen prosess rundt begrepet i det hele tatt, fordi det er en leverandør som tar seg av sikkerhetsarbeidet. Sikkerhetstoppmøtet fant det interessant å bli utfordret på begrepet, og spørsmålet er om man tenker for snevert. Begrepet bør beholdes, og heller posisjonere det bedre og lade det med riktig innhold. Etikk henger også sammen med dette, og ikke minst at en må ha kontekst å forstå «hvorfor»? Å forstå sammenhengen mellom regler, adferd og opplevelse av sanksjoner. En deltaker mener at informasjonssikkerhetskultur må forstår som kompetanse, holdninger adferd. Det er imidlertid utfordringer med kompetanse i mange virksomheter. Ikke nødvendigvis med sikkerhetskompetanse, men verktøyskompetanse, altså hvordan en skal bruke informasjonsteknologi. Mange ansatte vet ikke dette, men vi antar bare at man skal kunne det. Om man gi de ansatte IT-verktøy med mange muligheter, uten å bygge opp nødvendig kompetanse, vil antall sikkerhetshendelser også kunne øke. Veldig mye av hendelsene som vi ser kan unngås dersom man kan bygge opp kunnskapen. Forstår man verktøyet, så vil dette også påvirke holdninger. For bedrifter er «compliance» kanskje et mer presist begrep enn kultur, fordi det som regel er noe helt konkret man ønsker å oppnå. sikkerhetstoppmøtet 7

8 I Norge har vi en høy grad av tillitt, mellom mennesker generelt, og også til ledelse og styresett. Vi har samtidig også høy grad av kunnskap. Hvordan kan vi karakterisere informasjonssikkerhetskultur? Sikkerhetstoppmøtet mener at holdninger må sees på som en del av informasjonssikkerhetskulturen. Holdningene i bedriften sier noe om bedriftskulturen i sin helhet. Noen opplever bl.a. at enkelte grupper ansatte forventer en mye større grad av frihet, og derfor er vanskeligere å forholde seg til med tanke på informasjonssikkerhet. De innordner seg ikke i like stor grad de sikkerhetsreglene som finnes. Et annet syn er at det er den totale sikkerhetsadferden som utgjør informasjonssikkerhetskulturen. En kjede er aldri sterkere enn det svakeste leddet, og noen går rundt reglene for å kunne få jobben gjort. Sikkerhetstoppmøtet spør om interesse, for teknologi og IT, kan være en grunnleggende faktor i informasjonssikkerhetskulturen. Enkelte erfarer at de som ikke er interessert i IT- teknologi bruker det svært begrenset, fordi de ikke tør. De vet ikke hva som vil skje. De søker ikke spenning innen det f.eks. De som kan mindre om IT kommer oftere å spør om råd enn de som kan mer. Sistnevnte prøver oftere å finne ut av det selv. Men hvem utsetter seg for mest risiko? De begge utsetter seg for forskjellige typer risiko. Bl.a. er det typisk for de med lite kunnskaper som tør lite at de bruker enkle passord, fordi de er redde for å miste tilgang. Kan vi måle informasjonssikkerhetskultur? Fra et av innledningsforedragene fikk vi høre at ord som måling, redskap, verktøy, forbedring, effekt, god, dårlig og målbare størrelse ikke brukes av kulturvitenskapsfolk. Kulturvitenskapen vil heller begynne å spørre seg «Hva er kultur?», mens innen informasjonssikkerhet begynner en rett på byggeklossene og det praktiske: Prosess, effekt, forbedring. Det hele er veldig organisasjonsrettet. En deltaker forteller at de måler informasjonssikkerhetskultur ved å se på antall hendelser, gjerne ved at de måler antall hendelser før og etter en holdningskampanje. En annen forteller at de måler gjennom sikkerhetsinspeksjoner, og at dette gir en indikasjon på hvordan tilstanden er og i hvilken grad de ansatte etterlever reglene. 8 sikkerhetstoppmøtet

9 Sikkerhetstoppmøtet mener videre at en må definere hva som er normalt før man kan vite hva som er unormalt. Hva en mener betyr noe, men det er utfordrende å kartlegge holdninger. Det er enklere å kartlegge adferd, men adferd alene sier ikke nødvendigvis så mye om holdninger og kunnskap. En forteller at «måling» av etterlevelse av Clean Desk Policy brukes enkelte steder, men er det noe som folk respekterer og forstår? Oppfattes det som et sikkerhetstiltak, eller jåleri? Kan vi måle effekten av informasjonssikkerhetskultur? Sikkerhetstoppmøtet mener at de aller fleste gjerne ønsker å gjøre de riktige tingene, men vi har kanskje ikke nok kunnskap om hvordan vi skal forme adferd. Det ble framsatt en hypotese om effekten av informasjonssikkerhetskultur: Vi vet ikke nok om hvordan forming av adferd virker. Vi vet ikke om holdningskampanjer virker. Hvordan kan vi vite hva som virker? En deltaker hevder at vi vet at bilbelte redder liv. Dette er noe alle får opplæring i, og alle forstår at det er viktig og de kjenner reglene. Likevel er det mange som ikke gjør det. Er dette overførbart til informasjonssikkerhet? Noen har en tro på å bruke faktiske hendelser som eksempel. En annen mener at man selv er nødt til å oppleve konsekvenser. NorSIS har i sin undersøkelse spurt hva folk vil gjøre dersom de blir utsatt for datakriminalitet. De fleste, 85-90%, sier de vil anmelde forholdet til politiet. Imidlertid svarer kun 45% at de har tillit til at politiet kan hjelpe dem. Politiet egne data forteller at kun 13% faktisk anmelder. Vi vet ikke helt sikkert hvordan/hvorfor det skjer. Dette er et eksempel på mismatch mellom holdning og handling. Spørsmålet er om vi vil observere en endring over tid, altså at effekten av at få får hjelp av politiet, endrer våre holdninger til anmeldelser og vår tillit til politiet. Begrepet «Kultur» kan være til hjelp for å standardisere holdninger og adferd. sikkerhetstoppmøtet 9

10 En forfalsket epost førte til et stort tap av informasjon. I etterkant ble holdningene til informasjonssikkerhet vesentlig bedre. Hvordan utvikles og påvirkes informasjonssikkerhetskultur? Sikkerhetstoppmøtet diskuterte hvorvidt informasjonssikkerhet bør innføres som et fag i grunnskolen. Dersom man starter tidlig, kan en kanskje oppnå en større bevissthet og kunnskap i kommende generasjoner. En deltaker mener at hendelser som blir kjent påvirker sikkerhetskulturen. I et eksempel ble det fortalt at en organisasjon ble rammet av en alvorlig hendelse, og at følgende for organisasjonen var «traumatiske». Blant annet måtte to direktører gå. Fokuset på hendelsen, både i media og internt, førte til at holdningene til informasjonssikkerhet endret seg dramatisk. 10 sikkerhetstoppmøtet

11 RUNDE 2 Hvordan kan informasjonssikkerhetskultur påvirke verdiskapning i bedriften? Sikkerhetstoppmøtet mener at det er positiv for lønnsomheten å fokusere på informasjonssikkerhet. Sikkerhet er for mange et fravær av hendelser, og hendelser kan bety tap for bedriften. En deltaker opplever at evnen til å takle uventede hendelser har blitt bedre etter hvert som man har blitt utsatt for flere hendelser. Dette gjør noe med sikkerhetskulturen i bedriften. En blir mer robust over tid. God sikkerhet blir et virkemiddel for å tiltrekke seg business. Hva gjør norske virksomheter for å påvirke informasjonssikkerhetskulturen? En deltaker forteller at deres bedrift setter fokus på enkeltpersonene og den private sfæren. De erfarer at mange ikke bryr seg om bedriften blir rammet av datakriminalitet, eller at bedriften mister data. De ansatte er mer redde for at for eksempel private feriebilder kommer på avveie/går tapt. Ved å relatere opplæringen til folks IT-bruk og sikkerhetstilnærming privat hjelper ofte. Integrere det i hele tankegangen, ikke bare i bedriftssammenheng. Sikkerhetstoppmøtet diskuterte hvorvidt det er forskjell på sikkerhetsopplæring og holdningskampanjer. Noen mener at det ikke er forskjell, mens andre mener at kampanjer er avgrenset og fokusert i sin natur. Det ble videre diskutert om straff og belønning er gode virkemidler. Enkelte virksomheter bruker slike virkemidler. En kan bli utsatt for «sanksjoner» gjennom å bli innkalt til opplæring dersom en ikke har fulgt reglene, mens de som følge reglene får en positiv oppmerksomhet. Problemet kan være at ikke alle forstår formålet med virksomheten helt klart, og tror derfor at de oppfyller formålet selv om de bryter sikkerhetsreglene. En deltaker forteller at det å få med spørsmål om informasjonssikkerhet inn i de årlige medarbeiderundersøkelsene er viktig med tanke på å påvirke kulturen. På samme måte kan informasjon om dataangrep styrke informasjonssikkerhetskulturen. Dersom de ansatte vet hva trusselen er, kan de bedre beskytte seg mot den. Det blir en utfordring når etterlevelse av regelverket bryter med formålet til organisasjonen. sikkerhetstoppmøtet 11

12 Sikkerhetstoppmøtet diskuterte videre om bevisstgjøring og bruk av «ambassadører» i virksomheten har effekt. Slike ildsjeler kan være gode påvirkere, men enkelte erfarer også at slike ildsjeler ofte blir brukt på mange områder og at det er behov for egne sikkerhets- ambassadører. En deltaker forteller at de har etablert KPI-er fordi det er greit å forholde seg til. Den enkelte avdelingsleder får vurdere selv hvilke KPI-er er viktigst for seg for at hans avdeling skal oppnå sine mål. Bedriftseierne er veldig tydelig i sitt fokus på verdigrunnlaget, for eksempel innen forretningsmoral. Det kan være lurt å pakke inn informasjonssikkerhet inn i verdigrunnlaget Hvordan evalueres effekten av tiltak innen informasjonssikkerhetskultur? En av deltakerne opplever at informasjonssikkerhetskampanjer fungerer. Etter slike ser det at de ansatte oftere rapporterer hendelser til IT-avdelingen. Så dabber det av etter hvert, bevisstheten daler litt over tid. De kjører derfor kjøre e-læringskampanjer med jevne mellomrom. Spesielt med tanke på nye, eksterne trusler er dette viktig. En annen mener at noen ganger er tekniske tiltak like kostnadseffektive som kampanjer og tilsvarende. Vi opplever i liten grad at det stilles krav til at vi må dokumentere effekt av tiltakene En virksomhet måler etterlevelse til ISO27001, og «svarer» på punktene der ved å hente inn informasjon rundt det. Deretter setter man en score. Interne uenigheter kan føre til at noen har negative tilnærminger og vil sette lav score, mens andre vil sette høyere score. En annen virksomhet gjennomfører «awarenessundersøkelse» i form av en spørreundersøkelse der en spør om de ansatte kjenner prosedyrene, om de vet hvor de skal henvende seg, osv. Noen gjennomfører såkalte phishing-tester, mens andre gjennomfører mer omfattende social engineering penetrasjonstester med eksterne leverandører. Enkelte ansatte kan i etterkant reagere negativt på slike, så en må være forberedt på å håndtere det. 12 sikkerhetstoppmøtet

13 Hvem mener dere påvirker informasjonssikkerhetskulturen mest i en virksomhet? Sikkerhetstoppmøtet erfarer at en ledelse som ikke viser interesse for informasjonssikkerhet og informasjonssikkerhetskultur kan påvirke sterkt i negativ retning. Dette kan rive ned alt det som fagpersonene prøver å oppnå. I enkelte tilfeller kan det hjelpe å få med seg et bestemt individ, fordi det individet har stor mulighet til å påvirke andre. En virksomhet prøver seg på det de kaller «security angels». De er ikke plukket ut fordi de er innflytelsesrike, men snarere fordi de forstår. De sprer budskapet videre, og skal også være en lokal ressurs for de andre ansatte. Det er en balanseforskjell på ulike signaleffekter fra ledere. Det å etterleve reglene gir viss positiv effekt. Det å unngå reglene gir mye større negativ effekt Flere deltakere har erfart at det ofte hjelper at ledere selv går inn for å promotere likhet i forbindelse med sikkerhetsregler. Det at ledelsen er med er veldig viktig. Samtidig erfarer noen at den største utfordringen sjelden er toppledelsen, men oftere (mellom)ledelse og de som faktisk utfører. Noen mener at nordmenn er sedate og tilbakelent, og at holdningen ofte er at «det går sikkert greit». Mangel på proaktivitet fra alle ansatte kan være problematisk. Uten toppledelsens støtte er det ikke mulig å påvirke informasjonssikkerhetskulturen. Det er ingen som er i tvil om at ledelsens involvering er viktig. En bør prøve å holde en aktiv dialog med administrerende direktør og daglig leder for å informere om relevante forhold. Vi som skal være drivkreftene i sikkerhetsarbeidet passe på at vi bruker de riktige ordene, og legger vekt på de riktige tingene, som gjør at administrerende direktør kan bruke det i sine presentasjoner. Den aktive dialogen med øverste ledelse, og komme til ledergruppen med et relevant tema oppleves som viktig suksessfaktor. Øverste leder bør være sponsor for informasjonssikkerhetsprogrammet. sikkerhetstoppmøtet 13

14 En deltaker sier at han forstår ofte at det er viktig, men at det kan være vanskelig å se hva ledelsesforankring egentlig innebærer. Eksempelvis for informasjonssikkerhetsrevisjoner som ofte kan ofte føles som et mageslag for ledelsen. I slike situasjoner kan en oppleve at støtten fra ledelsen blir borte. Hvordan kan kriminelle utnytte svakheter i informasjonssikkerhetskulturen i bedriftene? Sikkerhetstoppmøtet diskuterte den økende trusselen i forbindelse med CEO-svindel. Slik svindel betyr åpenbart at de kriminelle har kartlagt virksomheten over tid. På samme måt kan kartlegging av den enkelte gjøre oss mer sårbar for sosial manipulering. Ettersom den tekniske sikkerheten stadig blir bedre, ser dette ut til å være en økende trend. Noen trusler vil bryte seg inn i systemene og hvile passivt i månedsvis, der de ikke gjør noe annet enn å overvåke selskapets aktivitet. De viser stor tålmodighet, og slå først til når de har tilstrekkelig informasjon. 14 sikkerhetstoppmøtet

15

16 Om Sikkerhetstoppmøtet Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap. Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet. Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles. Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet. Sikkerhetstoppmøtet støttes av