Sikkerhetskultur Flashcards
7 punkter i sikkerhetskultur
- holdninger
- atferd
- kognisjon
- kommunikasjon
- overholdelse
- normer
- ansvar
Definisjon på sikkerhetskultur
Sikkerhetskultur er summen av de ansattes kunnskap, motivasjon, holdninger og atferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd.
Atferd
Ansattes faktiske eller tiltenkte aktiviteter og risikotaking som kan ha en direkte eller indirekte innvirkning på informasjonssikkerheten. Dette inkluderer personlig integritet, som er hver enkelt ansattes kompass for etisk og lovlig atferd i henhold til normer og regler.
Holdninger
Ansattes følelser og meninger om de ulike aktivitetene som berører informasjonssikkerhet i organisasjonen. Dette inkluderer følelse av frykt eller mangel på frykt, og holdning til risiko for seg selv, for kollegaer, for organisasjonen og for eksterne.
Kognisjon
Ansattes bevissthet, verifiserbar kunnskap og oppfatning om praksis, aktiviteter og mestringstro relatert til informasjonssikkerhet. Det kan for eksempel være ansattes forståelse av cybertrusler, av sensitivitet ved ulike kategorier informasjon samt eksistensen av og innholdet i policyer.
Kommunikasjon
Måter ansatte kommuniserer med hverandre på, deres tilhørighetsoppfatning og deres aktive støtte for varsling og rapportering av hendelser.
Overholdelse
Ansattes respekt for organisatoriske sikkerhetspolicyer samt bevissthet om eksistensen av og kunnskap om innholdet i slike policyer.
Overholdelse
Ansattes respekt for organisatoriske sikkerhetspolicyer samt bevissthet om eksistensen av og kunnskap om innholdet i slike policyer.
Normer
Oppfatninger om sikkerhetsrelatert organisatorisk oppførsel og praksis som uformelt anses å være normal eller avvikende av ansatte eller andre som er i kontakt med organisasjonen. Dette kan f.eks. være bevisste eller ubevisste forventninger om sikkerhetsatferd og uskrevne regler angående bruk av IKT. Det gjelder også holdninger til kollegaers brudd på sikkerhetspolicyer.
Ansvar
Ansattes forståelse av rollene og hvilke oppgaver og plikter de har for opprettholdelse av informasjonssikkerhet i organisasjonen, og hvordan de kan sette informasjonssikkerheten i fare dersom de ikke oppfyller dette ansvaret. Dette inkluderer sikkerhet i håndtering av egne passord og andre autentikatorer, samt sikker håndtering av organisasjonens IT-utstyr, som datamaskiner og telefoner.
Tegn på god sikkerhetskultur
11
- Sikkerhet er en strategisk faktor for ledelsen og ikke bare et spørsmål om teknologi
- En forståelse av at sikkerhet spiller en betydelig rolle for å nå virksomhetens mål
- Trusler, sårbarheter og risiko er noe som diskuteres kontinuerlig i takt med virksomhetens utvikling
- Det er utpekt en sikkerhetsansvarlig som rapporterer direkte til øverste ledelse
- Ansatte inkluderer sikkerhet som en del av sine daglige oppgaver
- De ansatte får vite om hva virksomheten utsettes for og hvordan de kan bidra for å beskytte virksomhetens verdier
- Kontinuerlig opplæring av ansatte når det gjelder digitale verktøy, rutiner og prosedyrer
- Ansatte hjelper hverandre til å bli sikrere
- Ansatte opplever at de kan spørre sikkerhetspersonell om råd og hjelp
- Nyansatte gis kunnskap om virksomhetens sikkerhetsregler og rutiner
- Ansatte opplever trygghet når de rapporterer om feil og hendelser. Selv om de selv er årsaken
