Att involvera alla anställda i cyberhygienarbetet

Vi intervjuar Joakim Karlén om hur man gör för att involvera samtliga anställda i arbetet med informationssäkerhet och cyberhygien.

Intervjuare: Vi börjar från början – vad menas egentligen med cyberhygien?

Joakim Karlén: – När man hör ordet hygien tänker man på de där sakerna man alltid ska göra, som att tvätta händerna.

Det är faktiskt samma sak inom cybersäkerhet. Cyberhygien handlar om att alla ska veta och följa de grundläggande rutinerna för att skydda både sig själva och organisationen.

Små och stora organisationer – olika förutsättningar

Intervjuare: När man jobbar med mindre verksamheter; hur skiljer sig deras arbete från större organisationer?

Joakim Karlén: – I större organisationer finns ofta mer struktur och stöd, som en IT-avdelning som driver säkerhetsfrågorna.

I mindre verksamheter blir det individuella ansvaret större. Alla behöver förstå hur deras eget agerande påverkar säkerheten – eftersom man inte kan luta sig mot samma stödfunktioner.

Intervjuare: Vilka är de vanligaste misstagen?

Joakim Karlén: – Det absolut vanligaste är att man inte har ordning på sina digitala tillgångar. Man saknar rutiner för hur datorer och mobiler hanteras, eller utbildning kring grundläggande säkerhetsmoment. Det leder till att man missar enkla men avgörande skyddsåtgärder.

Att skapa engagemang

Intervjuare: Hur får man då medarbetarna att tänka aktivt på de här frågorna?

Joakim Karlén: – Det börjar med utbildning. Man behöver förklara varför reglerna finns och koppla dem till det dagliga arbetet:

Vad gör du i din vardag, och vilka risker finns i just de momenten?

Många ser inte cybersäkerhet som en del av sitt jobb – men det är det. Precis som man inte springer omkring med saxar på ett kontor, ska man inte hantera sina digitala verktyg på ett riskfyllt sätt. Cyberhygien handlar om att förstå verktygen man använder och hur de ska hanteras på ett säkert sätt.

Beteende snarare än teknik

Intervjuare: Så det handlar egentligen om kultur och beteende?

Joakim Karlén: – Exakt. Cyberhygien är inte bara teknik, utan framför allt beteende och medvetenhet.

För att stötta den kulturen behöver man tydliga rutiner och checklistor – till exempel för hur nya medarbetare introduceras i säkerhetsarbetet.

Man kan också öva på incidenter, till exempel genom simulerade attacker, så att alla lär sig sin roll om något händer. När man tränar på situationer där det går fel blir man mer medveten om sitt ansvar – och tryggare i hur man ska agera.

Intervjuare: Vilka hot bör organisationer fokusera på just nu?

Joakim Karlén: – Vi ser att attackerna blir fler och mer automatiserade.

Många små organisationer tänker “vi är inte intressanta” – men det vet inte angriparna. De attackerar allt som går att attackera. Med dagens AI-verktyg går det dessutom att låtsas vara någon annan och genomföra avancerade sociala attacker med mycket större precision och volym än tidigare. Det betyder att risken för att bli lurad ökar dramatiskt – särskilt om medarbetarna inte är vaksamma.

Cyberhygien handlar om att göra det enkla rätt – varje dag. Det kräver struktur, träning och engagemang från alla.