Fungerande datasäkerhet är ett samspel mellan teknik och företagskultur

Datasäkerhet eller cybersäkerhet diskuteras ofta i tekniska termer och funktioner. Antivirusprogram, brandväggar och lösenordstekniker dominerar debatten – och dessa är viktiga skyddsåtgärder för företagets datasäkerhet. De är dock inte de enda sätten att skydda sig.

Sällan talas det om en annan, minst lika viktig, fråga som påverkar datasäkerheten. Tekniken är i slutändan bara en del av företagets datasäkerhet, som också omfattar de anställdas vanor, kompetens och handlingssätt.

Situationen liknar den när man diskuterar inbrottsskydd i hemmet och fokuserar på utmärkta smarta lås, men glömmer att låsa dörren när man går ut eller gömmer nyckeln under dörrmattan.

– Många av oss har annat att tänka på än datasäkerhet och dataskydd i vardagens stress. Det är därför det ibland sker misstag, när någon råkar klicka på en länk i ett e-postmeddelande som ser äkta ut eller pratar högt med sina kunder i kollektivtrafiken under rusningstid, säger Sampo Holm, riskhanteringschef på Fennia.

Vad skulle till exempel hända om verkställande direktörens bärbara dator blev stulen och viktiga dokument inte har lagrats på en nätverkshårddisk eller säkerhetskopierats? Eller om ett nätverksberoende företag förlorar sin nätverksanslutning på grund av ett oavsiktligt kabelbrott?

Förvånansvärt många tror att de har kontroll över datasäkerheten genom att överlåta den till IT-avdelningen.

– Datasäkerhet – eller bristen på den – är först och främst en del av företagskulturen. Som namnet antyder handlar datasäkerhet om att hålla företagets viktiga data säkra – från tjuvar, arbetstagarnas oaktsamhet eller externa skador. Våra arbetssätt avgör hur användbara datasäkerhetslösningarna är. Att utveckla en företagskultur är först och främst ledningens ansvar, påpekar Holm.

Datasäkerhet handlar om mycket mer än antivirus och brandväggar

Holm påpekar att datasäkerhet i stor utsträckning handlar om att förstå och utveckla människors handlingssätt. Företagets anställda, inklusive ledningen, orsakar nästan aldrig medvetet datasäkerhetsproblem. Saker sker i all hast, oavsiktligt eller genom okunskap.

– Personalen bör dock inte ses som ett problem, eftersom den först och främst är lösningen på en kultur med högre datasäkerhet. När de anställda förstår varför datasäkerhet är viktigt, blir de en avgörande försvarslinje för företaget.

Ett gott tecken på en sund datasäkerhetskultur är att de anställda har möjlighet att själva ifrågasätta. Var jag verkligen tvungen att skicka en sådan här fakturafil till vår kund? Varför skickar vår verkställande direktör en brådskande begäran till mig om att öppna ett dokument bakom den här länken?

– Det kan vara ovärderligt för ett företag om de anställda inte bara följer de grundläggande reglerna för datasäkerhet, utan också ifrågasätter och utmanar hela organisationens datasäkerhetskultur, säger Holm.

Företaget kan och bör förbereda sig för datasäkerhetsincidenter

Det finns alltid risk för incidenter inom datasäkerhet. En god beredskap omfattar därför inte bara utbildning och förebyggande åtgärder, utan också en plan för vad som ska göras när något går fel. Beredskap och åtgärder bör också övas regelbundet.

Förutom pålitliga datasäkerhetspartner är försäkringar en viktig del av den övergripande datasäkerheten. Cyberförsäkringen ersätter inte en god datasäkerhetspolicy, utan kompletterar den med ekonomiskt skydd. Skador relaterade till datasäkerhet kan ibland bli mycket kostsamma, till exempel i form av rättegångskostnader. Med en cyberförsäkring kan företaget säkerställa att det behåller sin ekonomiska stabilitet.

Datasäkerhet handlar inte bara om tekniska lösningar, utan är en viktig del av företagskulturen. Varje företag bör se till sin egen situation och fundera över vad som är viktigast för det. Man bör förbereda sig på datasäkerhetshot i förväg – men också vara beredd på att något kan hända ändå. Det är viktigt att involvera personalen i arbetet med att förbättra datasäkerheten.

– Ett gammalt talesätt säger att ett företags säkerhet aldrig är starkare än dess svagaste länk. Men det vore bättre att säga att en välutbildad och engagerad personal förvandlar även bra datasäkerhet till utmärkt. När datasäkerheten är en del av vardagen är den inte ett skrämmande troll, utan ett naturligt sätt att agera. Som bäst är datasäkerhet lika självklart som att dricka kaffe!