#003 Rapportering av sikkerhetshendelser
Hvis vi har null sikkerhetshendelser så lurer vi oss selv. Hvordan kan vi få folk til å rapportere om ting vi ellers går glipp av?
Er det egentlig så bra hvis vi har null sikkerhetshendelser? Null sikkerhetshendelser er gjerne et dårlig tegn, for da har vi gått glipp av et eller annet.
Professor Sidney Dekker ved Griffith University i Australia, har jobbet med hvordan vi får folk til å si fra om ting som har gått galt, eller nesten har gått galt.
Gjennom fire punkter kan vi lære litt om hvordan vi øker graden av rapportering internt i virksomheten.
1. Ingen negative konsekvenser
Første punkt er at det må være helt trygt å rapportere. For eksempel hvis du har trykket på en e-post, en lenke eller vedlegg som du ikke burde ha gjort, og så har det gått litt galt, så må det være helt trygt, uten fare for straff, å si fra om dette.
Det er jo mye bedre at vi kan håndtere hendelsen raskt og effektivt, i stedet for at den enkelte skal sitte og prøve å fikse opp i ting selv, eller kanskje skjule hva som har skjedd.
2. Vis positiv effekt
Punkt to er at vi kan vise en forbedringprosess som gir resultater i virksomheten. Ikke bare at folk bruker tid på å si fra om ting, men at vi viser at dette gir resultater også, som er til det bedre for alle.
3. Kultur for forbedring
Punkt tre er at vi senker terskelen for å rapportere, og dette handler om at folk opplever fellesskap rundt verdier, at det er en kultur der vi er sammen om å forbedre oss, rett og slett. Og det er helt naturlig og vanlig for alle, uansett rolle å si fra hvis de oppdager noe som er som det ikke bør være.
4. Gjør det enkelt
Det siste punktet er også avgjørende, fordi det må være enkelt for folk å si fra og rapportere. Hvis du må fylle ut et skjema i fjorten eksemplarer og levere til person X på lokasjon Y, så sier det seg selv at dette er det veldig få som tar seg tid til å gjøre.
Men hvis vi kan bruke for eksempel digitalisering og gjøre det veldig enkelt for folk å rapportere, samle inn mest mulig data automatisk, gjøre det tilgjengelig, for eksempel med en knapp, så er det stor forskjell og folk vil bruke mekanismen mye mer aktivt.
Dermed så kan vi fange opp ting tidligere, mer effektivt, og raskere få oversikt og sette inn tiltak der vi ser at det er behov.
PS! En lengre versjon av denne artikkelen på engelsk er tidligere publisert på bloggen securityandpeople.com, om dette skulle være interessant for videre studier.
Last updated:
10 April 2019
Share this:
Language:
Norwegian
Show translation:
Contact the author:
MailRisk gjør det enkelt å rapportere mistenkelig e-post.
Finn ut hvordan MailRisk bidrar til felles innsats for sikkerheten.
Continue reading
Simulated phishing: How to design a suitable scam
How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.
How to succeed with security behavior change
To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.
Simulated phishing: Communications strategy
How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.
Ready to get started?
We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:
- How to nurture drivers for employee engagement
- How to avoid common obstacles for reporting
- Practical examples and steps to get started