Reportage

Säkerhet på rätt ställe

Kompetens i informationssäkerhet måste finnas i organisationen. Det är mindre viktigt att den anställde har den.

Det framhölls i en diskussion om kompetensbehov.
– Har vi bevis för att användarutbildning leder till minskade risker och högre medvetenhet? På riktigt? Skulle vi diskutera behov av längre lösenord om användarutbildning är lösningen, sade Anne-Marie Eklund Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktur som ansvarar för toppdomänen .se.

Anne-Marie Eklund Löwinder, ansedd som en av landets främsta IT-säkerhetsexperter, konstaterade att det viktiga är att skydda det som är skyddsvärt, men att det inte finns en möjlighet att kontrollera allt som händer på nätet och hur det händer.
– Anställda har accepterat det, lever med att ignorera det, är inte anställda för att tänka säkerhet. Och har vi någon anledning att tro att de vill lära sig mer? De har ju oss som jobbar med säkerheten.

Fia Ewald, chef för enheten för systematiskt informationssäkerhetsarbete på MSB, refererade till den nationella handlingsplanen från 2012 som säger att den mänskliga faktorn är viktig för att bygga informationssäkerhet.

– Ryggmärgsreflexen blev då utbildning. Men kompetens behöver inte vara synonymt med utbildning. Vi vill uppnå kunskap och att man vet hur man gör för att göra rätt. Det handlar bland annat om värderingar i organisationen och att skapa intelligenta organisationer som stödjer användaren i att göra rätt.

Men det finns system som det är för enkelt att göra fel i. Ur arbetsgivarperspektiv är det oförskämt mot de anställda sade Fia Ewald.

Rose-Mharie Åhlfeldt, lektor i datavetenskap på högskolan i Skövde, ansåg  att utbildning är bra i olika avseenden, men ingen frälsning i sig.
– Det finns jättemycket utbildningar i våra organisationer, men vi vet litet om dem. Jag tror att vi ofta misslyckas med att ge rätt utbildning, sade hon och fortsatte:
– Utbildning är inte det samma som något akademiskt, det kan vara samtal. När det gäller informationssäkerhet får det inte vara för krångligt eller komma pekfingrar, då kan det bli kontraproduktivt.

Åhlfeldt noterade också att frågan om ledningens engagemang ofta nämnts, och undrade vilken utbildning ledningen egentligen har i frågorna.
Fia Ewald påpekade att de i ledningen är kanske bäst på att undvika kompetenshöjande åtgärder i informationssäkerhet, för de medverkar inte.
– Min erfarenhet säger att meningsfulla samtal kring till exempel riskanalyser och informationsklassning är det som ger kompetens. Det ger förståelse som i sin tur ger motivation för säkerheten. Jag vill se mer av det och mindre av utbildning om lösenord, sa Fia Ewald.

Relaterat    

 - Ska vara lätt att göra rätt. Säkerhetskultur hos två arbetsgivare.  

- Skred mot integriteten. Vår integritet är hotad men det debatteras inte ansåg Wilhelm Agrell och Anne Ramberg.  

Intrång i integritet kartläggs.  

Grov brottslighet köper lösningar för intrång.  

Cyberbrotten kostar miljarder. Staten kan inte delegera säkerheten, utredare kräver incidentrapportering.  

Säkerhetspolicy saknas ofta vid utkontraktering.