– Manglende rapportering er en tapt forbedringsmulighet

Siden oppstarten i 2005, har Admincontrol levert samhandlingstjenester og datarom for styrer og due diligence-prosesser. Dette innebærer lagring av sensitiv informasjon for majoriteten av selskapene på Oslo Børs, og sikkerhet har alltid vært en viktig del av kulturen internt.

Admincontrol verdsetter hvordan ansatte kan bidra til informasjonssikkerhet med Secure Practice, sier Ole Martin Refvik. (Foto: Erlend Andreas Gjære)

Ole Martin Refvik er sikkerhetsleder og personvernombud i Admincontrol. Han forteller at kollegene hans får opplæring både når de starter, og jevnlig gjennom året. Likevel tror han at det å lære av personlig erfaring er det som sitter aller best.

– Sammenlignet med tradisjonelle tilnærminger til sikkerhetsopplæring, tilbyr Secure Practice et tydelig fokus på at man lærer mens man gjør. Den menneskelige interaksjonen mens man bruker verktøyet er viktig, og her skiller løsningen seg tydelig ut fra andre produkter i markedet.

Motiverende spill-opplevelse

Refvik forteller at særlig opplevelsen med poeng for å rapportere e-post har motivert til innsats blant flere av kollegene hans.

– Det er tydelig at gamification kan engasjere enkelte i større grad enn ellers. Etter en introduksjonsfase kjørte vi prisutdeling til mest aktive bidragsyter på vår årlige kick-off internt. Da var det faktisk noen som syntes det var litt urettferdig at andre hadde mottatt flere phishing-forsøk enn de selv!

Det kan naturlig nok variere hvor mye mistenkelig e-post ulike grupper av ansatte mottar. Dermed blir det også nyttig for enkelte å få en liten «a-ha»-opplevelse med jevne mellomrom.

– Simulert phishing er blitt et nyttig verktøy for å holde oppmerksomheten ved like. Folk har blitt mer bevisste, og er ikke så lett å lure, sier han om resultatene så langt.

Kontinuerlig forbedring

Admincontrol er sertifisert etter omfattende standarder for informasjonssikkerhet, inkludert både ISO 27001 og SOC 2, og dette påvirker følgelig sikkerhetsarbeidet internt.

– Men det var ikke sertifiseringene som gjorde at vi valgte Secure Practice, sier Refvik. Manglende rapportering er en tapt forbedringsmulighet. Derfor hadde jeg allerede mye tidligere begynt å be ansatte om å melde fra om mistenkelig e-post, fortsetter han.

Han opplevde likevel at denne jobben krevde både tid og innsats, og at det var nødvendig med verktøystøtte. Han setter stor pris på muligheten til å sette bort akkurat denne delen av jobben, og at mesteparten kan automatiseres.

Enkelt å se nytteverdien

– Det var ikke vanskelig å se at vi trengte en løsning som dette. Vi hadde allerede data for omfanget, og det var ikke vanskelig å argumentere for risikoen. Det handlet mest om å finne det beste verktøyet som sørger for at jeg kan bruke tiden min på andre tiltak, sier Refvik.

Han forteller at løsningen fra Secure Practice var både konkurransedyktig på pris og veldig lett å rulle ut i virksomheten. At tjenesten er utviklet i Norge og leverandøren oppleves enkel å komme i kontakt med, har også vært en positiv del av samarbeidet.

– Å sikre bedrifter mot phishing-angrep og gi folk en reell mulighet til å lære, er en veldig viktig jobb som vi opplever at Secure Practice gjør, avslutter sikkerhetslederen.