– Tekniken kan naturligtvis krångla, men min erfarenhet är att det nästan alltid beror på människor när informationssäkerheten brister. Ofta överdrivs teknikaspekter när säkerhetsfrågor dryftas. Säkerhetsområdet konkurrerar med ekonomi, tidsplaner, et cetera i företagen, och om inte värden finns med i diskussionen blir informationssäkerheten lidande.
Det menar Anders Röttorp, en tidigare Securitasväktare som nu jobbar med ledarskap och företagsetik på Svenskt Näringsliv.
Hela personalen måste vara inblandad
– Hela personalen måste vara engagerad i säkerhetstänkandet, annars kommer man inte att få systemet att fungera tillfredsställande i längden. Ett problem är att säkerhetsansvariga ofta är väldigt känsliga när det gäller tekniska prylar, men kan ha svårt att förstå vikten av att få med sig de anställda i arbetet. Då hjälper det inte med att utfärda regler och instruktioner, understryker Anders Röttorp.
Ledarskapet i företaget är mycket viktigt för att hålla informationssäkerheten uppe. Det handlar om att föra in och befästa värden inom organisationen, till exempel att varje incident följs upp, eller att säkerhetspolicyn åtminstone är känd.
– Undersökningar har visat att i vissa företag känner en så liten andel som åtta procent av de anställda till säkerhetspolicyn. En policy som inte är känd kan inte påverka individers agerande, säger Anders Röttorp.
Utomstående experter ineffektiva
Ett fel som många företagsledningar gör är att de låter inhyrda experter utforma säkerhetssystemen, varefter man inför systemen utan att låta de anställda vara med och påverka. Då tar inte de anställda till sig de nya rutinerna, eftersom de inte känner att det är deras system.
– Ett annat misstag som är vanligt är att systemen görs för komplicerade. Ibland stöter jag till och med på företagsledare som är stolta över sina säkerhetssystems komplexitet, trots att enkelhet och förståbarhet är A och O för att de ska följas och fungera, säger Anders Röttorp.
Han menar att det i dagens läge inte räcker med att komma med påbud om regler för att de ska följas.
– Med alla regler måste följa motiveringar, värderingar och reflektioner för att de ska tas på allvar. Utan detta följs de inte, säger Anders Röttorp.