Magma topp logo Til forsiden Econa

Når ansatte er et mål for cyberkriminelle

figur-authorfigur-author

En atferdsfokusert kommunikasjonstilnærming for å lykkes med informasjonssikkerhet

Sammendrag

Ansatte er i økende grad hovedmålet for cyberkriminalitet, men eksisterende opplæringsprogrammer og kampanjer rettet mot informasjonssikkerhet mislykkes ofte i å skape den sikkerhetsatferden som er nødvendig for å avverge cyberangrep. I denne artikkelen presenterer vi en oversikt over de hovedfaktorene som forskningslitteraturen trekker frem som essensielle for å skape opplæringsprogrammer og kampanjer som faktisk bidrar til bedre informasjonssikkerhetsatferd blant ansatte. I tillegg introduseres et rammeverk for atferdsendring som et utgangspunkt for å jobbe målrettet med informasjonssikkerhet. Deretter presenterer vi en case om en informasjonssikkerhetskampanje i Equinor, hvor en atferdsfokusert kommunikasjonstilnærming ble benyttet med gode resultater. Sentrale læringspunkter fra denne casen er blant annet viktigheten av å fokusere på få tema knyttet til informasjonssikkerhet om gangen, å kombinere kanaler gjennom multikanal tilnærming, å unngå kortvarige kampanjer og heller opprettholde fokuset over tid for mer langsiktig kulturendring, og å involvere ledere i alle steg i prosessen slik at de blir i stand til å følge opp i sine team samt å være gode rollemodeller for ønsket atferd.

Cyberkriminalitet – en trussel for norske virksomheter

Cyberkriminelle tar i bruk stadig mer sofistikerte metoder som gjør det utfordrende å eliminere risiko (Aldawood & Skinner, 2018). Virksomheter konsentrerer seg ofte primært om tekniske tiltak for å avskrekke potensielle angripere. Men den cyberkriminaliteten som øker mest, rettes mot ansatte i virksomheten fremfor å finne svakheter i tekniske systemer. Hovedårsaken er at ansatte blir sett på som det svakeste leddet i sikkerhetssystemet i virksomheten. Det er ansattes manglende oppmerksomhet om informasjonssikkerhet disse angriperne ønsker å utnytte (He & Zhang, 2019). De vanligste årsakene til sikkerhetsbrudd er ansattes mangel på oppmerksomhet, at de overser, er likegyldige eller reagerer med motstand på regler og prosedyrer for å styrke sikkerhetsatferd i virksomheten (Safa, 2015). Mørketallsundersøkelsen i 2018 viser at tre av de fem hyppigste årsakene til at et sikkerhetsbrudd oppstår, er relatert til menneskelige feil, mangel på sikkerhetsbevissthet hos de ansatte og at eksisterende prosesser ikke blir fulgt. Fremmedstatlig etterretningsaktivitet mot offentlige og private virksomheter samt datakriminalitet utgjør de fremste digitale truslene (NSM, 2018). Likevel er det mange virksomheter som ikke anerkjenner den risikofaktoren som deres ansatte representerer. I et simulert angrep initiert av NSM var det ni av ti som lot seg lure i en offentlig virksomhet (NSM, 2018).

I denne artikkelen ser vi nærmere på hva som skal til for å lykkes med å styrke informasjonssikkerhet i den enkelte virksomhet, når ansatte er primærmålet for angrep og cyberkriminelle. Vi vil se på ulike opplæringsformer og kampanjer rettet mot informasjonssikkerhet, både innhold og effekt. Vi vil videre se på hva som skal til for å endre atferd, og hvilke implikasjoner dette har for utvikling og implementering av aktiviteter rettet mot ansatte i virksomheter der det overordnede målet er å gjøre ansatte mindre sårbare for angrep fra cyberkriminelle.

Hensikten med artikkelen er å gi et forskningsbasert fundament som kan støtte virksomheter i planlegging og implementering av aktiviteter rettet mot egne ansatte. I tillegg presenterer vi en case fra Equinor for å vise hvordan en atferdsfokusert kommunikasjonstilnærming har blitt planlagt og implementert i en global virksomhet. Herunder beskrivelsen av målet, hva som ble gjort, hvordan det ble implementert, samt den viktigste læringen i etterkant. Dette kan gi innsikt til andre virksomheter som ønsker å styrke arbeidet med informasjonssikkerhet der ansatte er målgruppen.

Informasjonssikkerhet – opplæringsprogrammer og kampanjer

Det er mange metoder som har blitt brukt for å gjøre sluttbrukerne mer oppmerksomme på informasjonssikkerhet, men det settes spørsmålstegn ved effekten. Bidrar de til å endre sikkerhetsatferd? Vi skal nå se på forskning som omhandler opplæringsprogrammer og kampanjer rettet mot ansatte.

Informasjonssikkerhetsprogrammer og -kampanjer oppfattes ofte som kjedelige innholdsmessig, og mange ansatte mangler motivasjon for å delta. Videre opplever noen at programmene er for generelle, og at programmene og kampanjene ikke er designet i formater som tillater ulike læringsformer og behov. Programmene er heller ikke oppdaterte nok på det siste innen cybersikkerhetstrusler (He & Zhang, 2019). Implementeringen av sikkerhetsprogrammer er ofte utfordrende fordi det benyttes en universelltilnærming, det blir gitt for mye informasjon, programmene mangler en helhetlig tilnærming, det forklares ikke hvorfor det er viktig, og det er mangel på lederstøtte (Alotaibi, 2019). Det er likevel anbefalt at virksomhetene tilbyr opplæring og trening for å styrke sikkerhetskulturen og gjøre de ansatte oppmerksomme på de metodene som er mest utbredt blant angripere (Aldawood & Skinner, 2018). Ansattes manglende etterlevelse av sikkerhetsprosedyrer er en stor bekymring for mange virksomheter, og for å håndtere dette problemet eksisterer det derfor et mangfold av tilnærminger med målsetting om å endre ansattes atferd (Karjolainen & Siponen, 2011).

Hva skal da til? Hva må man ta hensyn til når man skal utvikle og implementere opplæringsprogrammer og -kampanjer som gir effekt? Et viktig poeng er at virksomheten er tydelig på sluttmålet. Å lykkes med å øke oppmerksomhet er ikke det samme som at man har lyktes med å endre atferd. Oppmerksomhet i en informasjonssikkerhetskontekst definerer Jaeger (2008) som en kognitiv sinnstilstand. Oppmerksomhet er således en forutsetning for atferd, men ikke selve atferden. Det kan skilles mellom bevissthet om alvorlighetsgrad, som går på hvor alvorlig sikkerhetstrusler oppleves å være, og bevissthet om sårbarhet, som handler om hvor sannsynlig man tror det er at man blir utsatt for angrep (Humaidi & Balakrishnan, 2015). Dette igjen påvirker sikkerhetsatferd. Forskningen bekrefter også et gap mellom oppmerksomhet/kunnskap og faktisk atferd (Gundu, 2019). Hva vi vet eller sier at vi skal gjøre (atferdsintensjon), er ikke det samme som at vi handler tilsvarende (faktisk atferd).

I forskningslitteraturen har vi identifisert følgende faktorer som kjennetegner opplæringsprogrammer og kampanjer som har en større sannsynlighet for å lykkes med å skape en atferdsendring. En oppsummering gjengis i tabellen nedenfor.

Tabell 1 Informasjonssikkerhet – virkemidler som øker sannsynligheten for atferdseffekter.
1 Bruke kanaler eller virkemidler som gir muligheter for både synkron og asynkron toveis diskusjon og involvering. Aldawood & Skinner, 2018
2 Gjennomføre intervensjoner som pågår over tid gjennom flere sesjoner, også omtalt som spacing i læringslitteraturen. Hendrix mfl., 2016
3 Bruke videobaserte virkemidler som tillater imitasjon eller kopiering gjennom å se hva andre gjør. Skinner mfl., 2018
4 Benytte blended learning, eller multikanaltilnærming, der man bruker kanaler og virkemidler i kombinasjon for å maksimere effekt ut fra erkjennelsen av at ansatte har ulike læringsstiler og brukerpreferanser. Bauer mfl., 2017; Skinner mfl., 2018
5 Bruke hypermedieinnhold, etterfulgt av multimedietilnærming, og deretter hypertekstbasert instruksjon. Shaw, 2009
6 Knytte innhold opp mot ansattes privatliv. Ansatte tenderer mot å være mer mottakelige når de opplever innholdet som nyttig og relevant privat. He & Zhang, 2019
7 Bruke triggere ved å sende ut sikkerhetstips, råd og påminnelser jevnlig for å motivere ansatte til å praktisere riktig atferd. He & Zhang, 2019
8 Diskutere temaer og ønsket atferd tilknyttet sikkerhetsatferd i grupper/team. Alotaibi, 2019
9 Bruke virkemidler som gir en høy grad av involvering fordi det gir en dypere prosessering av informasjon sammenlignet med lav grad av involvering. Safa, 2015
10 Involvere ledere på alle nivåer fordi de har en viktig rolle i å øke oppmerksomheten om virksomhetens informasjonssikkerhetsprosedyrer og regler samt motivere til etterlevelse og styrke ønsket atferd. Humaidi & Balakrishnan, 2015
11 Identifisere og måle den konkrete sikkerhetsatferden man ønsker å styrke (faktisk atferd), ikke bare atferdsintensjoner – hva man sier man skal gjøre. Gundu, 2019

På tross av at det er identifisert faktorer som det er viktig å ta hensyn til når man utvikler opplæringsprogrammer og -kampanjer, eksisterer det lite veiledning i hvordan man skal implementere disse for å sikre at man får ønsket effekt (Scrimgeour, 2019).

En atferdsfokusert kommunikasjonstilnærming for å implementere ønsket sikkerhetsatferd

Å lykkes med å endre atferd krever mer enn å gi informasjon om risiko og riktig atferd. Først må ansatte være i stand til å forstå og bruke rådene, og deretter må de være villige til å følge dem – utføre atferden (Bada & Sasse, 2014). Dette innebærer å endre tilnærmingen fra å være informasjonsfokusert til å være atferdsfokusert. Sluttmålet er ikke utelukkende informerte og oppmerksomme ansatte, men ansatte som i tillegg gjør de riktige handlingene (ønsket atferd) for å styrke sikkerhetskulturen i virksomheten. Om utgangspunktet til virksomhetene er erkjennelsen om at det ikke kan skje en endring uten atferdsendring, betyr det også at man må utvikle og implementere opplæringsprogrammer og -kampanjer som bygger på prinsipper som øker sannsynligheten for at atferdsendring skal kunne skje (jf. tabell 1).

Når hjernen prosesserer informasjon, følger den prinsippet om å minimere trusler og maksimere belønning (Whiting mfl., 2012). Videre tas mange av avgjørelsene knyttet til atferd i det Kahneman (2011) kaller system 1 i hjernen, som er emosjonelt, intuitivt og automatisk. System 2 opererer logisk, rasjonelt og saktere, mens system 1 er tett knyttet til vaner og automatisert atferd. Mange av beslutningene vi tar som er knyttet til atferd, har sitt utspring i system 1, mens det meste av kommunikasjonen i virksomheter er primært rettet mot system 2 (Munkejord, 2018b). Dermed vil kommunikasjonsvirkemidlene man bruker, ha liten effekt på atferd. Om vi ser dette i lys av ansattes e-postatferd og informasjonssikkerhet, vil det å åpne e-poster primært være automatisert atferd. I all hovedsak går det bra hver gang. Man har ikke blitt utsatt for et phishing-angrep (dette anser hjernen som belønning), noe som resulterer i at hjernen ikke er i modus for å minimere trusler. Ofte undervurderer ansatte potensielle trusler og risiko i cyberspace og tenker derfor det ikke er så viktig å utvise riktig atferd (både bevisst og ubevisst). Ulike metoder for forsterkning over tid kan bidra til å endre nåværende atferd til mer sikre vaner (Alotaibi, 2019). Men for å lykkes må man starte med å spesifisere kjerneatferden man ønsker å spre og forsterke, og forstå hva som skal til for å lykkes i å endre denne. Det finnes en rekke atferdsmodeller i forskningslitteraturen. MACE-modellen (Munkejord, 2018a) tar utgangspunkt i styrkene til de mest sentrale modellene og gir en systematisk tilnærming for å identifisere kjerneatferd og de viktigste komponentene som har betydning for å lykkes i å forsterke og spre kjerneatferden.

figur

Figur 1 MACE-modellen for atferdsendring.

MACE-modellen starter med fem grunnleggende spørsmål:

  • Hva er kjerneatferden du ønsker at målgruppen skal utføre? (core behaviour)
  • Hvorfor gjør ikke målgruppen dette i dag?
  • Hva skal til for at målgruppen utfører ønsket atferd? (Motivation, Ability, Clarity, Easiness)
  • Hvordan skal målgruppen huske på å utføre ønsket atferd? (trigger)
  • Hvordan skal ønsket atferd opprettholdes og forsterkes over tid? (reinforcement)

I et atferdsfokusert kommunikasjonsrammeverk for å styrke ønsket atferd knyttet til informasjonssikkerhet starter man med et tydelig mål. Deretter identifiserer man de områdene med tilhørende atferd (MACE-modellen) som har størst betydning for å nå målet. Innhold utvikles rundt den kjernen av atferd som er identifisert, og med den innfallsvinkelen man antar har størst effekt. Deretter brukes en multikanaltilnærming der man kombinerer de kanalene og virkemidlene man har tilgjengelig for å optimalisere effekt. Ledere og medarbeidere involveres for å sikre dialog og etterlevelse på både individ- og gruppenivå. Til slutt måler man effekt (Munkejord, 2018b). En atferdsfokusert tilnærming omfatter de viktigste elementene for å lykkes med informasjonssikkerhet introdusert i tabell 1 tidligere i denne artikkelen.

Case: Informasjonssikkerhetskampanje i Equinor

Equinor har over 20 000 ansatte i mer enn 30 land. Høsten 2016 ble det igangsatt en informasjonssikkerhetskampanje globalt i Equinor. Aksjonsforskning (Stringer, 2014) ble benyttet som et metodisk rammeverk for å utvikle, teste, implementere, evaluere og forbedre en atferdsfokusert kommunikasjonstilnærming. Hovedaktivitetene pågikk over tre måneder. Hensikten var å styrke riktig informasjonssikkerhetsatferd i selskapet blant ledere og medarbeidere. Kampanjen besto av følgende steg:

  • Konkretisere mål
  • Identifisere de områdene som ville ha størst betydning for måloppnåelse
  • Identifisere kjerneatferd under hvert av hovedområdene
  • Utvikle innhold rundt identifisert kjerneatferd
  • Bruke multikanaltilnærming for å nå målgruppen
  • Involvere ledere og medarbeidere
  • Måle effekt

Vi vil i det følgende utdype stegene og beskrive hva som ble gjennomført i Equinor. Målet (steg 1) var å styrke informasjonssikkerhetskulturen i Equinor gjennom å redusere sårbarhet. Det ble identifisert fire hovedområder (steg 2) som var antatt å ha størst effekt for å nå målet om man lykkes med å endre ansattes atferd: 1. Lage sterke passord. 2. Identifisere og rapportere phishing-e-poster. 3. Unngå skadelig programvare. 4. Rapportere hendelser knyttet til informasjonssikkerhet. For hvert av disse fire områdene ble det identifisert kjerneatferd (steg 3) og hvordan man skulle måle denne. For hvert av disse fire hovedområdene er det mange handlinger ledere og medarbeidere i utgangspunktet kan gjøre. Å identifisere kjerneatferd vil si å fokusere på de handlingene man antok ville ha størst effekt. Eksempelvis finnes det flere teknikker for å lage sterke passord. En viktig beslutning var å bestemme seg for hvilken teknikk som både ville bidra til sterkere passord og være enkel å forstå og bruke for ansatte. Det samme gjelder identifikasjon og rapportering av phishing-e-poster. Hva skal ansatte se etter for å identifisere et potensielt phishing-angrep, og hvordan skal de kunne rapportere dette enkelt?

Det neste steget var å utvikle et godt innhold rundt kjerneatferden man ville spre og forsterke (steg 4). Video ble valgt som et sentralt virkemiddel fordi det egner seg godt for både å aktivere emosjoner og illustrere ønsket atferd. Det er enklere for ledere og medarbeidere å utføre en atferd når de ser hvordan den skal utføres. Det ble utviklet et historiefortellingsformat som aktiverte emosjoner, og som også fokuserte på riktig atferd. Det ble benyttet en multikanaltilnærming (steg 5) for å nå flest mulig og for å optimalisere effekt. I Equinor jobber det ledere og medarbeidere i ulike land og kulturer, på tvers av tidssoner, på kontorer, i operative stillinger både offshore og onshore, og i ulike skiftordninger. Dette igjen gir muligheter og begrensninger når det kommer til kanalbruk, som følge av ulike både brukerpreferanser og tilgangsmuligheter. Det ble derfor laget multikanalpakker med innhold som ble tilpasset ulike kanaler, som team-/avdelingsmøter, nyhetsbrev, artikler på intranettet, animasjoner på informasjonsskjermer og sosiale kanaler som Yammer. Det ble også benyttet triggere for å sikre at medarbeidere fikk riktig informasjon til riktig tid: Ansatte som åpnet og klikket på e-post med phishing-innhold (intern kampanje), ble sendt til en side som beskrev hvordan man kan unngå phishing, inkludert en kort video som viser riktig atferd. Ansatte fikk også en påminnelse på e-post når det var tid for å endre passord. I påminnelsen fikk de en beskrivelse av hvordan de kunne lage et sterkt passord, inkludert en kort video som illustrerte hvordan.

Et viktig element i kampanjen var å involvere ledere (steg 6), både fordi de er en viktig kanal for å endre atferd, og for å få gode refleksjoner og dialog i egne team/enheter og identifisere forbedringstiltak. Lederne fikk tilgang til innhold de kunne bruke som samtalestartere i egne team. Multikanalpakkene ble rullet ut med tre ukers mellomrom for å gi tid til å mobilisere ledere og team. Måling og evaluering (steg 7) var det siste steget. Aktivitetene i kampanjen ble målt på fire ulike nivåer med økende forretningsverdi:

  • Aktivitetsnivå: Når man målgruppen? Her ble det målt hvor mange som leste artikler, hvor mange ledere som åpnet nyhetsbrev, antall ansatte som så videoer, og hvor mye de så av disse videoene. Hensikten med å måle aktivitet på tvers av kanaler var å se hvor stor del av målgruppen man greide å nå gjennom tilnærmingen. Tiltak ble igangsatt basert på aktivitetstall innhentet underveis.
  • Innholdsnivå: Hvor nyttig er innholdet for målgruppen? Her ble det målt om informasjonssikkerhetsinnholdet opplevdes som nyttig i jobben. Ved å måle nytteverdi kunne man justere på innholdspakker som skulle distribueres senere.
  • Atferdsnivå: Her målte man hvorvidt lederne brukte innholdet i egne team, og atferden til ledere og medarbeidere.
  • Resultatnivå: På dette nivået var hensikten å måle effekten av kampanjen på kjerneatferd slik som færre passordbrudd og færre phishing-ofre.

Resultater fra kampanjen viser at man greide å nå fem ganger så mange medarbeidere globalt når man involverte ledere, og ikke bare brukte digitale massekanaler alene. Den opplevde nytteverdien av innholdet var 94 prosent (på tvers av kanaler), og ni av ti ledere syntes innholdet var nyttig for å skape oppmerksomhet om informasjonssikkerhet i eget team. Lederne brukte innholdet aktivt for å rette søkelyset mot viktige temaer og atferd knyttet til informasjonssikkerhet, og én av fire ledere identifiserte konkrete forbedringstiltak som de kunne implementere for å styrke sikkerhetsatferden lokalt. Hele 91 prosent visste hvordan de skulle bruke den nye passordteknikken for å lage sterkere passord, 96 prosent følte seg sikre på at de ville være i stand til å identifisere et phishing-angrep, og 99 prosent oppga at de vet hvordan de skal rapportere et phishing-forsøk. Dette er selvrapportert atferd, men resultatene ved måling rett etter at kampanjen var gjennomført, viste at færre ansatte klikket på e-poster med phishing-kampanjer, og færre passord ble hacket ved bruk av hackeverktøy sammenlignet med før kampanjen.

Viktige lærings- og forbedringspunkter som ble identifisert, var at kampanjen kunne vært enda spissere og rettet mot ett eller to temaer i stedet for fire. Da kunne man hatt ett tema i fokus over enda lengre tid. Kampanjen pågikk over cirka tre måneder. I denne perioden var det et sterkt søkelys på temaet på tvers av alle interne kanaler, men erkjennelsen er at det er utfordrende å opprettholde samme moment etter at en kampanje er gjennomført. Dette handler både om ressurser som er allokert til prosjektet, og tilgjengeligheten i interne kanaler der andre viktige temaer også må prioriteres. Dette er typiske karakteristikker for kampanjer, men medfører at det må være en klar plan for hva som skal skje etter at en kampanje er slutt. Mobilisering av ledere er også helt avgjørende for å lykkes med informasjonssikkerhetsarbeid gjennom å involvere, diskutere, identifisere tiltak og forsterke riktig atferd over tid hos medarbeidere. Til tross for at det var tre uker mellom hver av multikanalpakkene, tar det lengre tid for ledere å sette dette på agendaen og gjennomføre, spesielt i operative miljøer med skiftordninger og i team/avdelinger med geografisk spredte ledere og medarbeidere. En god forståelse av hvem målgruppen er, og virksomhetens rytme (tiden det tar å nå ut til alle), er viktig i planleggingen og gjennomføringen av informasjonssikkerhetskampanjer.

Diskusjon

Det skorter antakelig ikke på informasjonssikkerhetsprogrammer og -kampanjer i norske virksomheter. Det er imidlertid uvisst om disse skaper ønsket effekt på den faktiske sikkerhetsatferden blant virksomhetenes ansatte. For eksempel antyder Mørketallsundersøkelsen (2018) at cyberangrep slett ikke er uvanlig i norske virksomheter. Som vi har sett i denne artikkelen, er det imidlertid mulig å forbedre sikkerhetsarbeidet betraktelig gjennom relativt enkle grep, blant annet ved å rette innsatsen mot den atferden man antar vil ha størst positiv effekt på informasjonssikkerhetskulturen, og å spre og forsterke denne atferden gjennom en multikanaltilnærming.

Implikasjoner for ledelse

Et annet grep som kan og bør gjøres, er relatert til virksomhetsledernes lederstil. Innledningsvis identifiserte vi elleve hovedfaktorer (tabell 1) som kjennetegner opplæringsprogrammer og kampanjer med større sannsynlighet for å lykkes, herunder å involvere ledere på alle nivåer fordi de kan motivere ansatte til etterlevelse, styrke ønsket atferd og øke oppmerksomheten om virksomhetens informasjonssikkerhetsprosedyrer (Humaidi & Balakrishnan, 2015). Virksomhetens ledere er altså i aller høyeste grad en sentral gruppe i sikkerhetsarbeidet. Ledelse handler om å påvirke andre for å oppnå målene virksomheten har (Northouse, 2016) – herunder mål knyttet til informasjonssikkerhet, må man kunne anta. Når det gjelder å påvirke ansatte i retning av mål knyttet til informasjonssikkerhet, har imidlertid ledelse og ledere vært lite i fokus (Guhr, 2018; Hu, 2012). Årsaken til dette kan være at ansvar knyttet til informasjonssikkerhet ofte delegeres til IT-ledere alene uten at ledelsen tar ansvar selv, i den tro at de har den beste IT-staben i selskapet til å ivareta det høyeste nivå av informasjonssikkerhet (Hu, 2012). Det er dog viktig at ledere og spesielt toppledelse har en helhetlig tilnærming til informasjonssikkerhet, og at de er gode rollemodeller for etterlevelse (Soomro, 2016). Viktigheten påpekes også av NSM (2018): «Sikkerhetsansvaret må være tydelig plassert i ledelsen, med oppgaver og myndighet delegert til linjeorganisasjonen.»

Hva er det så ved lederen som kan virke inn på medarbeidernes sikkerhetsatferd, utover den åpenbare effekten av det å være rollemodell for ønsket atferd? Som MACE-modellen (Munkejord, 2018a) (figur 1) illustrerer, handler atferdsendring blant annet om motivasjon, evne, forståelse av behovet for endring og hvor høy man opplever terskelen er for å endre seg. Dette gjelder også for atferdsendring knyttet til sikkerhet, og her spiller lederen en meget viktig rolle som fasilitator og motivator i møte med medarbeiderens behov og forventninger. Gjennom sin egen atferd og fremtoning kan altså lederen legge til rette for de ansattes informasjonssikkerhetsatferd, og lederstilen transformasjonsledelse synes å være særlig effektiv i så måte. Transformasjonsledelse (Burns, 1978; Bass, 1985) er en lederstil som motiverer den ansatte til å yte mer enn forventet og mer enn egeninteresse tilsier (den ansatte blir altså ‘transformert’), og som karakteriseres av fire faktorer: 1) Lederen er en tydelig og sterk rollemodell for sine ansatte og eksemplifiserer etisk atferd, 2) lederen skaper motivasjon og inspirasjon, 3) lederen oppmuntrer ansatte til å være innovative, kreative og ansvarsfulle i arbeidet, og 4) lederen tar hensyn til sine ansattes unike behov og støtter personlig vekst og utvikling (Northouse, 2015). Ledere som er engasjerende og motiverende, har en transformerende lederstil, mens ledere som er mer opptatt av kontroll, implementering og etterlevelse, har en mer transaksjonell lederstil (Humaidi & Balakrishnan, 2015). Dermed står altså transaksjonsledelse i en viss kontrast til transformasjonsledelse, men det er en glidende overgang mellom de to stilene, og én og samme leder kan tenkes å gjøre bruk av begge (Bass, 1985).

I en informasjonssikkerhetskontekst ventes både transaksjons- og transformasjonsledelse å være effektive og passende tilnærminger til ledelse, men det er fremdeles lite solid empirisk forskning på sammenhengen mellom konkrete ledelsestilnærminger og sikkerhet. Dette er problematisk, all den tid transformasjonsledelse ofte fremheves som gunstig og ønskelig (se f.eks. Hoch mfl., 2016). I eksisterende forskning antydes det imidlertid at også transaksjonsledelse er viktig for å fremme sikkerhetsatferd, ettersom denne ledelsestilnærmingens fokuserer blant annet på overholdelse av regler og rutiner (Humaidi & Balakrishnan, 2015). Samtidig er det mulig at transformasjonsledelse har en sterkere effekt enn transaksjonsledelse på atferdsnivå, fordi positiv forsterkning vektlegges som virkemiddel for å fremme ønsket atferd (Guhr, 2018). Ledere med en transformerende lederstil legger vekt på å forstå hva som motiverer og påvirker medarbeiderne, de legger vekt på å coache ansatte for å fremme bedre prestasjoner og skape forståelse av for eksempel strategi (Cleveland & Cleveland, 2018), og de skaper grobunn for læring, utvikling og innovasjon (Bass, 2008). Sentrale trekk ved transformasjonsledelse ventes altså å være fordelaktig for en mer helhetlig tilnærming til informasjonssikkerhet. Kunnskap om transaksjons- og transformasjonsledelse setter lederen i stand til å bidra aktivt til medarbeidernes sikkerhetsatferd ved å vektlegge både de harde elementene (transaksjonsledelse), som å understreke viktigheten av å følge virksomhetens eksisterende regler og rutiner, og de myke elementene (transformasjonsledelse). For eksempel er det avgjørende at medarbeiderne følger prosedyrer ved mottak av mistenkelige e-poster, og det er gunstig at lederen understreker dette. I en sterk sikkerhetskultur er det imidlertid ønskelig at medarbeiderne også er proaktive og selvgående, slik at de ikke bare følger prosedyrer og regler, men er aktive bidragsytere inn i sikkerhetsarbeidet på daglig basis.

Fem råd til ledere: Hvordan lykkes med en atferdsfokusert tilnærming til informasjonssikkerhet?

  • Bruk tid på å definere den kjerneatferden som vil ha størst effekt på en styrket informasjonssikkerhetskultur i den aktuelle virksomheten – det lønner seg i det lange løp. Ikke bruk tid og ressurser på tiltak som ikke ventes å ha en synlig effekt.
  • Jobb med færrest mulig områder/atferdstyper om gangen. Det tar tid og krefter for ny sikkerhetsatferd å sette seg i organisasjonen, og i denne prosessen er det til stor nytte for de ansatte å kunne konsentrere seg om få tema. Det skjerper innsatsen og skaper momentum i arbeidet.
  • Ha en plan for utrullingen av kampanjen. Særlig i store organisasjoner med skiftordninger er det utfordrende og tidkrevende å nå frem til samtlige ansatte med budskapet.
  • Involver lederne, og ha lederstil i fokus. Lederne når frem til flere medarbeidere enn andre kommunikasjonskanaler alene, de er viktige rollemodeller for ønsket informasjonssikkerhetsatferd og kan bygge viktig motivasjon og inspirasjon, men bør samtidig være opptatt av gjeldende regler og rutiner for informasjonssikkerhet.
  • Mål effekten av sikkerhetskampanjen på flere nivåer: aktivitets-, innholds-, atferds- og resultatnivå. Å måle på flere nivåer muliggjør endringer i tilnærmingen underveis og øker sannsynligheten for en varig styrket sikkerhetskultur.

Konklusjon

I denne artikkelen har vi sett på hva som skal til for å lykkes i å styrke informasjonssikkerhet i den enkelte virksomhet, gjennom å styrke og spre riktig atferd som reduserer sårbarhet mot cyberkriminelle og angrep. De ansatte er ofte ansett som det svakeste leddet i et informasjonssikkerhetssystem. Vi har gjennomgått litteraturen for å identifisere hovedfaktorer som kan bidra til å utvikle og implementere effektive opplæringsprogrammer og kampanjer som gir effekt (tabell 1). Flere av disse hovedfaktorene var inkludert i informasjonssikkerhetskampanjen i Equinor. Ny teknologi muliggjør multikanaltilnærminger og en mer skalerbar og hurtig tilnærming for å nå ansatte med atferdsrettet innhold og prosesser. Likefullt krever det innsats over lang tid før man ser en effekt på den enkeltes sikkerhetsatferd og styrking av kulturen. Dette skjer gjennom systematisk forsterkning av riktig atferd over tid. Enkeltstående aktiviteter som interne phishing-e-poster, e-læringskurs via LMS, artikler på intranettet og enkeltstående treningssesjoner har sannsynligvis liten eller ingen effekt på atferd. Det er kombinasjonen av virkemidler over tid som gir effekt, både for å nå ut til målgruppen og for å påvirke atferd. Mange av kommunikasjonsvirkemidlene som tradisjonelt blir benyttet i informasjonssikkerhetskampanjer, har som mål å øke oppmerksomheten, med aktiviteter som utvikles og implementeres for å lykkes med dette. Nøkkelen til en sterkere sikkerhetskultur ligger i å jobbe med atferden, ikke bare oppmerksomheten, til hver enkelt ansatt i virksomheten. Det skjer ingen endring uten atferdsendring, som igjen er en forutsetning for å styrke informasjonssikkerhetskulturen. Det bør derfor alltid defineres et atferdsmål, og man må velge de virkemidlene som har størst betydning for å endre atferd. I denne sammenhengen er mobilisering av ledere helt avgjørende. Men det er to viktig hensyn man må ta: 1. Virksomheten må utvikle pakker som er gode samtalestartere som lederne kan bruke for å ha en dialog rundt ønsket atferd. 2. Det er viktig at lederne bruker en transformerende lederstil som egner seg for å skape dialog om, motivere og forsterke riktig atferd over tid. Kampanjer har også et iboende problem ved at de har en definert start og slutt, mens en informasjonssikkerhetskultur styrkes og forsterkes over tid. Innsiktene fra forskningslitteraturen og en viktig læring fra Equinor er at man må ha en klar plan for hvordan man skal opprettholde det moment som skapes i en kampanjeperiode slik at det varer utover en kort og avgrenset tidsperiode.

  • Aldawood, H., & Skinner, G. (2018). Educating and raising awareness on cyber security social engineering: A literature review. IEEE International Conference on Teaching, Assessment, and Learning for Engineering (TALE), s. 62–68.
  • Alotaibi, A. (2019). Information security awareness: A review of methods, challenges and solutions. Internet Technology and Secured Transactions, s. 119–127.
  • Bada, M., & Sasse, A. (2014). Cyber security awareness campaigns. Why do they fail to change behavior? Global Security Capacity Centre, s. 1–38.
  • Bauer, S., Bernroider, E., & Chudzikowski, K. (2017). Prevention is better than cure! Designing information security awareness programs to overcome users’ non-compliance with information security policies in banks. Computer and Security, 68, s. 145–159.
  • Bass, B.M. (1985). Leadership and performance beyond expectations. New York: Free Press.
  • Bass, B.M. (2008). The Bass handbook of leadership. New York: Free Press.
  • Burns, J.M. (1978). Leadership. New York: Harper & Row.
  • Cleveland, S., & Cleveland, M. (2018). Toward cybersecurity leadership framework. Proceedings of the Thirteenth Midwest Association for Information systems Conference, Saint Louis, Missouri, 17 mai 2018 (s. 1–5). Bepress.
  • Guhr, N., Lebek, B., & Breitner, M.H. (2018). The impact of leadership on employees’ intended information security behaviour. An examination of the full-range leadership theory. Information Systems Journal, 29, 340–362.
  • Gundu, T., Flowerday, S., & Renaud, K. (2019). Deliver security awareness training, then repeat: Deliver; measure efficacy. Conference on Communications Technology and Society (ICTAS), 6–8 mars 2019 (s. 1–6). IEEE.
  • He, W., & Zhang, Z. (2019). Enterprise cybersecurity training and awareness programs: Recommendations for success. Journal of Organizational Computing and Electronic Commerce, 29(24), 249–257.
  • Hendrix, M., Al-sherbaz, A., & Victoria, B. (2016). Game based cyber security training: Are serious games suitable for cyber security training? International Journal of Serious Games, 3(1), 53–61.
  • Hu, Q., Dinev, T., Hart, P., & Cooke, D. (2012). Managing employee compliance with information security policies: The critical role of top management and organizational culture. Decision Sciences, 43(4), 615–659.
  • Humaidi, N., & Balakrishnan, V. (2015). Leadership styles and information security compliance behavior. The mediator effect of information security awareness. International Journal of Information and Education Technology, 5(4), 311–318.
  • Jaeger, L. (2018). Information security awareness: Literature review and integrative framework. Proceedings of the 51th Hawaii International Conference on System Sciences, 2–6 januar 2018 (s. 4703–4712). NY: Curran Associates.
  • Kahneman, D. (2002). Thinking fast and slow. New York: Penguin Books.
  • Karjolainen, M., & Siponen, M. (2011). Toward a new meta-theory for designing information systems (IS) Security training approaches. Journal of the Association for Information Systems, 12(8), 518–555.
  • Munkejord, K. (2018a). Internkommunikasjon i praksis. Presentasjon ved institutt for psykologi, masterseminar. Norges Teknisk Naturvitenskapelige Universitet (NTNU) 13. september.
  • Munkejord, K. (2018b). Effektiv endringskommunikasjon i organisasjoner. I P.S. Brønn & J.K. Arnulf (red.), Kommunikasjon for ledere og organisasjoner (2. utgave). Oslo: Fagbokforlaget.
  • Northouse, P. (2016). Leadership. Theory and Practice. Boston, USA: Sage Publications.
  • Nasjonal sikkerhetsmyndighet. (2018). Et sikkert digitalt Norge – IKT-risikobilde. Oslo: Nasjonal sikkerhetsmyndighet.
  • Nasjonal sikkerhetsmyndighet. (2018). Risiko 2018: Verdifulle individer. Verdifulle virksomheter. Verdifull infrastruktur. Oslo: Nasjonal sikkerhetsmyndighet.
  • Nasjonal sikkerhetsmyndighet. (2018). Mørketallsundersøkelsen 2018: Informasjonssikkerhet, personvern og datakriminalitet. Oslo: Nasjonal sikkerhetsmyndighet.
  • Safa, N.S., Sookhak, M., Solms, R., Furnell, S., Ghani, N.A., & Herawan, T. (2015). Information security conscious care behaviour formation in organizations. Computers & Security, 53, 65–78.
  • Scrimgeour, J., & Ophoff, J. (2019). Lessons learned from and organizational information security awareness campaign. I L. Drevin & M. Theocharidou (red.). Information security education: Education in proactive information security. The IFIP WG 11.8 World Conference, WISE 12, 25–27 june 2019. Lisboa: Portugal.
  • Shaw, R.S., Chen, C.C., & Huang, H. (2009). The impact of information richness on information security awareness training effectiveness. Computers & Education, 52, s. 92–100.
  • Skinner, T., Taylor, J., Dale, J., & Mcalaney, J. (2018). The development of intervention e-learning materials and implementation techniques for cyber-security behaviour change. Convention of the Study of Artificial Intelligence and Simulation of Behaviour (AISB), 4.–6. april. Liverpool, UK.
  • Stringer, E.T. (2014). Action research (4. utgave). London: Sage.
  • Soomro, Z.A., Shah, M.H., & Ahmed, J. (2016). Information security management needs more holistic approach: A literature review. International Journal of Information Management, 36, 215–225.
  • Whiting, J., Jones, E., Rock, D., & Bendit, X. (2012). Lead change with the brain in mind. NeuroLeadership Journal, 4, 1–13.

Econa er foreningen for høyt utdannede innen økonomi og administrasjon. Er du ikke medlem?
Sjekk medlemstilbudene og meld deg inn i dag.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS