Starfsfólkið er öflugasta varnarlínan Margrét V. Helgadóttir skrifar 28. maí 2026 14:32 Flest fyrirtæki og stofnanir á Íslandi hafa fjárfest í alls kyns tæknilausnum til að verjast sívaxandi netógnum. Engu að síður sjáum við reglulega fréttir af gagnalekum, netárásum og rekstrartruflunum. Ástæðan er sjaldnast sú að tæknin hafi brugðist. Ástæðan er yfirleitt sú að upplýsingaöryggi hefur aldrei orðið raunverulegt forgangsmál stjórnenda og hluti af menningu fyrirtækis. Því miður verður það oft ekki fyrr en eftir að skaðinn er skeður. Upplýsingaöryggi er enn alltof oft flokkað sem tölvumál innan fyrirtækja og stofnana. Eitthvað sem tæknideildin á að sinna, en framkvæmdastjórn og stjórnir koma aðeins að þegar eitthvað fer úrskeiðis. Þetta er varhugaverð nálgun, hún getur verið kostnaðarsöm og laskað bæði traust og orðspor fyrirtækisins. Upplýsingaöryggi er ekki tæknimál árið 2026 heldur stjórnendamál. Stjórnendur bera ábyrgð á áhættustýringu skipulagsheilda. Í dag er upplýsingaöryggi ein stærsta rekstraráhætta flestra fyrirtækja og sambærileg við fjármálaáhættu, lagalega áhættu eða orðsporsáhættu. Samt sjáum við enn að upplýsingaöryggismál eru sett í hendur sérfræðingum án þess að vera hluti af reglulegri stefnumótun eða ákvörðunum stjórnenda. Ef upplýsingaöryggi er eingöngu til umræðu eftir að krísa skellur á er það ekki raunverulegt forgangsmál heldur viðbragð. Ef upplýsingaöryggi á að hafa raunveruleg áhrif þarf það að vera fastur liður á dagskrá stjórnenda, rætt á stjórnarfundum, tengt við rekstrarmarkmið og fjárfestingar, og metið með sama hætti og önnur lykiláhætta hvers fyrirtækis eða stofnunar. Þrátt fyrir alla tæknina eiga mörg alvarleg öryggisatvik rætur sínar í mannlegum þáttum. Veiðipóstar sem eru opnaðir með einum smelli, gögn rangt meðhöndluð, veik lykilorð eða einfaldlega skortur á skilningi á áhættunni. Rót vandans liggur oft í mannlega þættinum. Öryggismenning er ekki síður mikilvæg en kerfis- og tæknilegar varnir. Öflug öryggismenning felst í því að starfsfólk skilur hvers vegna upplýsingaöryggi skiptir máli, veit hvernig það á að bregðast við og upplifir að það megi ræða mistök og grunsamleg atvik opinskátt. Slík menning verður ekki til af sjálfu sér. Hún verður til þegar stjórnendur leiða hana markvisst og sýna gott fordæmi. Starfsfólk horfir fyrst og fremst til stjórnenda. Ekki hvað þeir segja, heldur hvað þeir gera.Ef stjórnendur sleppa öryggisfræðslu, læsa ekki tölvum þegar þeir yfirgefa starfsstöðina, nota einföld lykilorð eða fara fram hjá verklagi, senda þeir skýr skilaboð til starfsfólksins um að öryggið skipti ekki máli. Ef þeir gefa öryggismálum tíma á fundum, spyrja gagnrýninna spurninga og eru sjálfir fyrirmyndir í hegðun, þá smitast það út um allt fyrirtækið. Jafnframt þurfa þeir að gera viðbragðsáætlanir og æfa viðbrögð við atvikum, rétt eins og gert er varðandi brunavarnir eða annað rekstrarrof. Þegar upplýsingaöryggi er samþætt nýliðaþjálfun, daglegt verklag, árangursmælingar og stjórnendafundi verður það hluti af menningu fyrirtækisins. Æðstu stjórnendur leggja grunninn að öflugri öryggismenningu. Það þýðir að stjórnendur þurfa að vera sýnilegir talsmenn upplýsingaöryggis og taka sjálfir þátt í fræðslu og æfingum. Þeir þurfa að setja skýrar væntingar til starfsfólks, skapa umhverfi þar sem fólk þorir að tilkynna mistök og tryggja að öryggi sé aldrei fórnað fyrir hraða eða þægindi. Þetta eru ekki tæknilegar ákvarðanir. Þetta eru viðfangsefni leiðtoga. Í stafrænum heimi er traust eitt mikilvægasta samkeppnisforskot fyrirtækja. Traust er ekki sjálfgefið, það er áunnið og því þarf að viðhalda, en því er líka hægt að glata á einni nóttu. Stjórnendur hafa vald til að ákveða hvort upplýsingaöryggi sé raunverulegt forgangsmál eða fallegt orð í stefnu. Með því að setja skýra stefnu, sýna fordæmi og fylgja eftir kröfum, verja þeir ekki bara gögn heldur sambandið við viðskiptavini, starfsfólk og samfélagið allt. Stjórnendur sem fjárfesta í öryggismenningu eru því ekki bara að verja kerfi. Þeir eru að verja framtíð og orðspor fyrirtækisins. Netógnir munu halda áfram að aukast. Spurningin er ekki hvort fyrirtæki verði fyrir öryggisatviki, heldur hvenær og hversu alvarlegt það verður. Upplýsingaöryggi er ekki lengur afmarkað sérsvið heldur sameiginlegt ábyrgðarefni. Það er grunnforsenda nútímarekstrar allra fyrirtækja og stofnana. Stjórnendur verða að fara að setja upplýsingaöryggi á sömu hillu og önnur lykilforgangsmál eins og fjármál, gæði, öryggi starfsfólks og þjónustu við viðskiptavini. Þeir þurfa að leiða með fordæmi og skapa menningu þar sem upplýsingaöryggi er sameiginlegt verkefni allra. Upplýsingaöryggi er spurning um forystu, ekki kostnað. Það er mælikvarði á ábyrgð, framsýni og gæði stjórnunar. Stjórnendur setja tóninn. Og í stafrænum heimi er sá tónn annað hvort skýr og ábyrgur eða dýrkeyptur. Höfundur er sérfræðingur í net- og upplýsingaöryggi hjá netöryggissviði Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Mest lesið Þjóðarvarnarráðið hefur verið kallað saman af minna tilefni! Davíð Bergmann Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson Skoðun Ekki ert þú nú mikill maður Kristján Loftsson Kristján Logason Skoðun Spyrjið ykkur: Fyrir hvern vinnur íslenska krónan? Þórður Snær Júlíusson Skoðun Orðspor og ímynd bíður hnekki Haukur Hinriksson Skoðun Stafrænt fullveldi er ekki frönsk sérviska Þorsteinn Siglaugsson Skoðun Samvinna auðlindagreina styrkir allra hag Þorsteinn Másson Skoðun Skiptir stærðin máli? Páll Rafnar Þorsteinsson Skoðun Meitlað í stein eða kannski, hugsanlega, ef til vill Sigurður Egilsson Skoðun Gervigreind á ekki að hugsa fyrir okkur Helgi S. Karlsson Skoðun Skoðun Skoðun Í kjörklefanum erum við ein Jón Steindór Valdimarsson skrifar Skoðun Sævar Helgi horfir heima Atli Viðar Thorstensen skrifar Skoðun Skiptir stærðin máli? Páll Rafnar Þorsteinsson skrifar Skoðun Samvinna auðlindagreina styrkir allra hag Þorsteinn Másson skrifar Skoðun Ekki ert þú nú mikill maður Kristján Loftsson Kristján Logason skrifar Skoðun Spyrjið ykkur: Fyrir hvern vinnur íslenska krónan? Þórður Snær Júlíusson skrifar Skoðun Þjóðarvarnarráðið hefur verið kallað saman af minna tilefni! Davíð Bergmann skrifar Skoðun Orðspor og ímynd bíður hnekki Haukur Hinriksson skrifar Skoðun Stafrænt fullveldi er ekki frönsk sérviska Þorsteinn Siglaugsson skrifar Skoðun Gervigreind á ekki að hugsa fyrir okkur Helgi S. Karlsson skrifar Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar Skoðun Mannréttindi eru ekki skrifstofa heldur framkvæmd Auður Axelsdóttir skrifar Skoðun Af hverju „Nei“ 29. ágúst? Alfreð Sturla Böðvarsson skrifar Skoðun Að hafa rétt eftir Ingólfur Sverrisson skrifar Skoðun Hvaða áhættu tekur Ísland ef við breytum engu? – Framtíðarsýn til ársins 2050 Þorvaldur Ingi Jónsson skrifar Skoðun Almyrkvi á sólu 12.ágúst 2026: Gagnlegar upplýsingar Runólfur Þórhallsson skrifar Skoðun Um líf og dauða, fullveldi og ESB II Bjarni Már Magnússon skrifar Skoðun Meitlað í stein eða kannski, hugsanlega, ef til vill Sigurður Egilsson skrifar Skoðun Krónuhagkerfið og kostnaður heimilanna Sigurður Kristinn Pálsson skrifar Skoðun Litir, form og staðarandi Þórður Már Sigfússon skrifar Skoðun Brexit ekki orsök efnahagsáskorana Breta Kristinn Sv. Helgason skrifar Skoðun Jörðin er dómkirkjan okkar. Geimurinn er verkstæðið okkar. Árni Sigurðsson skrifar Skoðun Stækkun bílaborgarinnar er ekki sjálfgefin - Ný byggð til norðurs kallar á öflugri almenningssamgöngur Stefán Agnar Finnsson skrifar Skoðun Hvenær hættir maður að vera útlendingur? Valerio Gargiulo skrifar Skoðun Viðvörunarljós um farsæld barna má ekki hunsa Steinunn Bergmann skrifar Skoðun Sjö algengar ranghugmyndir um hvali og hvalveiðar Eyþór Eðvarðsson skrifar Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson skrifar Skoðun Um líf og dauða, fullveldi og ESB Bjarni Már Magnússon skrifar Skoðun Ný greining: Hvað myndu húsnæðisvextir lækka með ESB og evru? Dagur B. Eggertsson skrifar Skoðun Hvað er í pakkanum? Hannes Lúðvíksson skrifar Sjá meira
Flest fyrirtæki og stofnanir á Íslandi hafa fjárfest í alls kyns tæknilausnum til að verjast sívaxandi netógnum. Engu að síður sjáum við reglulega fréttir af gagnalekum, netárásum og rekstrartruflunum. Ástæðan er sjaldnast sú að tæknin hafi brugðist. Ástæðan er yfirleitt sú að upplýsingaöryggi hefur aldrei orðið raunverulegt forgangsmál stjórnenda og hluti af menningu fyrirtækis. Því miður verður það oft ekki fyrr en eftir að skaðinn er skeður. Upplýsingaöryggi er enn alltof oft flokkað sem tölvumál innan fyrirtækja og stofnana. Eitthvað sem tæknideildin á að sinna, en framkvæmdastjórn og stjórnir koma aðeins að þegar eitthvað fer úrskeiðis. Þetta er varhugaverð nálgun, hún getur verið kostnaðarsöm og laskað bæði traust og orðspor fyrirtækisins. Upplýsingaöryggi er ekki tæknimál árið 2026 heldur stjórnendamál. Stjórnendur bera ábyrgð á áhættustýringu skipulagsheilda. Í dag er upplýsingaöryggi ein stærsta rekstraráhætta flestra fyrirtækja og sambærileg við fjármálaáhættu, lagalega áhættu eða orðsporsáhættu. Samt sjáum við enn að upplýsingaöryggismál eru sett í hendur sérfræðingum án þess að vera hluti af reglulegri stefnumótun eða ákvörðunum stjórnenda. Ef upplýsingaöryggi er eingöngu til umræðu eftir að krísa skellur á er það ekki raunverulegt forgangsmál heldur viðbragð. Ef upplýsingaöryggi á að hafa raunveruleg áhrif þarf það að vera fastur liður á dagskrá stjórnenda, rætt á stjórnarfundum, tengt við rekstrarmarkmið og fjárfestingar, og metið með sama hætti og önnur lykiláhætta hvers fyrirtækis eða stofnunar. Þrátt fyrir alla tæknina eiga mörg alvarleg öryggisatvik rætur sínar í mannlegum þáttum. Veiðipóstar sem eru opnaðir með einum smelli, gögn rangt meðhöndluð, veik lykilorð eða einfaldlega skortur á skilningi á áhættunni. Rót vandans liggur oft í mannlega þættinum. Öryggismenning er ekki síður mikilvæg en kerfis- og tæknilegar varnir. Öflug öryggismenning felst í því að starfsfólk skilur hvers vegna upplýsingaöryggi skiptir máli, veit hvernig það á að bregðast við og upplifir að það megi ræða mistök og grunsamleg atvik opinskátt. Slík menning verður ekki til af sjálfu sér. Hún verður til þegar stjórnendur leiða hana markvisst og sýna gott fordæmi. Starfsfólk horfir fyrst og fremst til stjórnenda. Ekki hvað þeir segja, heldur hvað þeir gera.Ef stjórnendur sleppa öryggisfræðslu, læsa ekki tölvum þegar þeir yfirgefa starfsstöðina, nota einföld lykilorð eða fara fram hjá verklagi, senda þeir skýr skilaboð til starfsfólksins um að öryggið skipti ekki máli. Ef þeir gefa öryggismálum tíma á fundum, spyrja gagnrýninna spurninga og eru sjálfir fyrirmyndir í hegðun, þá smitast það út um allt fyrirtækið. Jafnframt þurfa þeir að gera viðbragðsáætlanir og æfa viðbrögð við atvikum, rétt eins og gert er varðandi brunavarnir eða annað rekstrarrof. Þegar upplýsingaöryggi er samþætt nýliðaþjálfun, daglegt verklag, árangursmælingar og stjórnendafundi verður það hluti af menningu fyrirtækisins. Æðstu stjórnendur leggja grunninn að öflugri öryggismenningu. Það þýðir að stjórnendur þurfa að vera sýnilegir talsmenn upplýsingaöryggis og taka sjálfir þátt í fræðslu og æfingum. Þeir þurfa að setja skýrar væntingar til starfsfólks, skapa umhverfi þar sem fólk þorir að tilkynna mistök og tryggja að öryggi sé aldrei fórnað fyrir hraða eða þægindi. Þetta eru ekki tæknilegar ákvarðanir. Þetta eru viðfangsefni leiðtoga. Í stafrænum heimi er traust eitt mikilvægasta samkeppnisforskot fyrirtækja. Traust er ekki sjálfgefið, það er áunnið og því þarf að viðhalda, en því er líka hægt að glata á einni nóttu. Stjórnendur hafa vald til að ákveða hvort upplýsingaöryggi sé raunverulegt forgangsmál eða fallegt orð í stefnu. Með því að setja skýra stefnu, sýna fordæmi og fylgja eftir kröfum, verja þeir ekki bara gögn heldur sambandið við viðskiptavini, starfsfólk og samfélagið allt. Stjórnendur sem fjárfesta í öryggismenningu eru því ekki bara að verja kerfi. Þeir eru að verja framtíð og orðspor fyrirtækisins. Netógnir munu halda áfram að aukast. Spurningin er ekki hvort fyrirtæki verði fyrir öryggisatviki, heldur hvenær og hversu alvarlegt það verður. Upplýsingaöryggi er ekki lengur afmarkað sérsvið heldur sameiginlegt ábyrgðarefni. Það er grunnforsenda nútímarekstrar allra fyrirtækja og stofnana. Stjórnendur verða að fara að setja upplýsingaöryggi á sömu hillu og önnur lykilforgangsmál eins og fjármál, gæði, öryggi starfsfólks og þjónustu við viðskiptavini. Þeir þurfa að leiða með fordæmi og skapa menningu þar sem upplýsingaöryggi er sameiginlegt verkefni allra. Upplýsingaöryggi er spurning um forystu, ekki kostnað. Það er mælikvarði á ábyrgð, framsýni og gæði stjórnunar. Stjórnendur setja tóninn. Og í stafrænum heimi er sá tónn annað hvort skýr og ábyrgur eða dýrkeyptur. Höfundur er sérfræðingur í net- og upplýsingaöryggi hjá netöryggissviði Fjarskiptastofu.
Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar
Skoðun Hvaða áhættu tekur Ísland ef við breytum engu? – Framtíðarsýn til ársins 2050 Þorvaldur Ingi Jónsson skrifar
Skoðun Stækkun bílaborgarinnar er ekki sjálfgefin - Ný byggð til norðurs kallar á öflugri almenningssamgöngur Stefán Agnar Finnsson skrifar
Skoðun Aðildarviðræður eru ekki upplýsingaleit heldur undirbúningur að aðild Gunnar Ármannsson skrifar