Reportage

- Ska vara lätt att göra rätt

Mer dialog än restriktioner. Sån är säkerhetskulturen på Sveriges Riksbank.

– Det ska vara lätt att göra rätt och svårt att göra fel, säger informationssäkerhetsansvarige Lars Andersson.

Sveriges Riksbank och vapentillverkaren BAE Systems Bofors hanterar båda mycket känslig information.
Men säkerhetskulturen kan skilja en del.

– Vi vill vara så transparenta som möjligt, pratar inte specifikt om säkerhetspolitik. Det är en följd av den verksamhet vi har som är väldigt akademisk, som bygger mycket på diskussion och att förankra. De anställda ska inte märka av de tekniska skyddsåtgärder som vi jobbar med, säger Lars Andersson, Sveriges Riksbank.
– För mig är säkerhetskulturen helig. Ledningens engagemang är stort, chefer måste vara tydliga och påföljder måste vara tydliga. Vi har inte råd att snubbla, säger Leif Gren, säkerhetschef på BAE Systems Bofors.

Sveriges Riksbank jobbar mycket med logganalyser, men inte för att avslöja gjorda fel, utan för att hitta svagheter i egna IT-systemet.
– Om fel görs, då går vi ut med allmän information om vad som gäller. Om man i en akademisk värld, där personal är van att göra som man vill, säger att de inte får göra så; då skapar det andra problem, säger Lars Andersson och fortsätter:
– Om den anställde inte förstår, då är det snarare den informationssäkerhetsansvarige som ska sparkas än den som inte förstår.

Lars Andersson och Leif Gren är överens om att intern kommunikation är viktigt för att man ska känna sig trygg med att det man gör rätt och att utvecklingen går åt rätt håll.

Leif Gren brukar också läsa av säkerhetskulturen analogt, göra lunchrundor på kontoret för att se om personalen är utloggad och inte lämnat papper liggande framme.
– I början kunde jag ha 25 noteringar, nu är jag nere i 1-2. Repetition är kunskapens moder.

BAE Systems Bofors har många med långvarig anställning, vilket Leif Gren konstaterar utgör en del av säkerhetskulturen.
– Jag tycker det generellt läggs för lite kraft på rekrytering. Det tittas ofta för mycket på betyg och för lite på personen som sitter inför oss. Är det någon vi vill ha, är det någon vi kan lita på? Hos oss är vi flera som tittar på en tänkt anställning. Felrekrytering är kostsamt.

Relaterat

Säkerhet på rätt ställe - mindre viktigt anställd har kompetens i informationssäkerhet.

- Skred mot integriteten. Vår integritet är hotad men det debatteras inte ansåg Wilhelm Agrell och Anne Ramberg.

Intrång i integritet kartläggs.

Grov brottslighet köper lösningar för intrång.

Cyberbrotten kostar miljarder. Staten kan inte delegera säkerheten, utredare kräver incidentrapportering.

Säkerhetspolicy saknas ofta vid utkontraktering.