Starfs­fólkið er öflugasta varnarlínan

Flest fyrirtæki og stofnanir á Íslandi hafa fjárfest í alls kyns tæknilausnum til að verjast sívaxandi netógnum. Engu að síður sjáum við reglulega fréttir af gagnalekum, netárásum og rekstrartruflunum. Ástæðan er sjaldnast sú að tæknin hafi brugðist. Ástæðan er yfirleitt sú að upplýsingaöryggi hefur aldrei orðið raunverulegt forgangsmál stjórnenda og hluti af menningu fyrirtækis. Því miður verður það oft ekki fyrr en eftir að skaðinn er skeður.

Upplýsingaöryggi er enn alltof oft flokkað sem tölvumál innan fyrirtækja og stofnana. Eitthvað sem tæknideildin á að sinna, en framkvæmdastjórn og stjórnir koma aðeins að þegar eitthvað fer úrskeiðis. Þetta er varhugaverð nálgun, hún getur verið kostnaðarsöm og laskað bæði traust og orðspor fyrirtækisins. Upplýsingaöryggi er ekki tæknimál árið 2026 heldur stjórnendamál.

Stjórnendur bera ábyrgð á áhættustýringu skipulagsheilda. Í dag er upplýsingaöryggi ein stærsta rekstraráhætta flestra fyrirtækja og sambærileg við fjármálaáhættu, lagalega áhættu eða orðsporsáhættu. Samt sjáum við enn að upplýsingaöryggismál eru sett í hendur sérfræðingum án þess að vera hluti af reglulegri stefnumótun eða ákvörðunum stjórnenda. Ef upplýsingaöryggi er eingöngu til umræðu eftir að krísa skellur á er það ekki raunverulegt forgangsmál heldur viðbragð.

Ef upplýsingaöryggi á að hafa raunveruleg áhrif þarf það að vera fastur liður á dagskrá stjórnenda, rætt á stjórnarfundum, tengt við rekstrarmarkmið og fjárfestingar, og metið með sama hætti og önnur lykiláhætta hvers fyrirtækis eða stofnunar.

Þrátt fyrir alla tæknina eiga mörg alvarleg öryggisatvik rætur sínar í mannlegum þáttum. Veiðipóstar sem eru opnaðir með einum smelli, gögn rangt meðhöndluð, veik lykilorð eða einfaldlega skortur á skilningi á áhættunni. Rót vandans liggur oft í mannlega þættinum. Öryggismenning er ekki síður mikilvæg en kerfis- og tæknilegar varnir. Öflug öryggismenning felst í því að starfsfólk skilur hvers vegna upplýsingaöryggi skiptir máli, veit hvernig það á að bregðast við og upplifir að það megi ræða mistök og grunsamleg atvik opinskátt. Slík menning verður ekki til af sjálfu sér. Hún verður til þegar stjórnendur leiða hana markvisst og sýna gott fordæmi.

Starfsfólk horfir fyrst og fremst til stjórnenda. Ekki hvað þeir segja, heldur hvað þeir gera.

Ef stjórnendur sleppa öryggisfræðslu, læsa ekki tölvum þegar þeir yfirgefa starfsstöðina, nota einföld lykilorð eða fara fram hjá verklagi, senda þeir skýr skilaboð til starfsfólksins um að öryggið skipti ekki máli. Ef þeir gefa öryggismálum tíma á fundum, spyrja gagnrýninna spurninga og eru sjálfir fyrirmyndir í hegðun, þá smitast það út um allt fyrirtækið. Jafnframt þurfa þeir að gera viðbragðsáætlanir og æfa viðbrögð við atvikum, rétt eins og gert er varðandi brunavarnir eða annað rekstrarrof. Þegar upplýsingaöryggi er samþætt nýliðaþjálfun, daglegt verklag, árangursmælingar og stjórnendafundi verður það hluti af menningu fyrirtækisins.

Æðstu stjórnendur leggja grunninn að öflugri öryggismenningu. Það þýðir að stjórnendur þurfa að vera sýnilegir talsmenn upplýsingaöryggis og taka sjálfir þátt í fræðslu og æfingum. Þeir þurfa að setja skýrar væntingar til starfsfólks, skapa umhverfi þar sem fólk þorir að tilkynna mistök og tryggja að öryggi sé aldrei fórnað fyrir hraða eða þægindi. Þetta eru ekki tæknilegar ákvarðanir. Þetta eru viðfangsefni leiðtoga.

Í stafrænum heimi er traust eitt mikilvægasta samkeppnisforskot fyrirtækja. Traust er ekki sjálfgefið, það er áunnið og því þarf að viðhalda, en því er líka hægt að glata á einni nóttu. Stjórnendur hafa vald til að ákveða hvort upplýsingaöryggi sé raunverulegt forgangsmál eða fallegt orð í stefnu. Með því að setja skýra stefnu, sýna fordæmi og fylgja eftir kröfum, verja þeir ekki bara gögn heldur sambandið við viðskiptavini, starfsfólk og samfélagið allt.

Stjórnendur sem fjárfesta í öryggismenningu eru því ekki bara að verja kerfi. Þeir eru að verja framtíð og orðspor fyrirtækisins. Netógnir munu halda áfram að aukast. Spurningin er ekki hvort fyrirtæki verði fyrir öryggisatviki, heldur hvenær og hversu alvarlegt það verður. Upplýsingaöryggi er ekki lengur afmarkað sérsvið heldur sameiginlegt ábyrgðarefni.

Það er grunnforsenda nútímarekstrar allra fyrirtækja og stofnana.

Stjórnendur verða að fara að setja upplýsingaöryggi á sömu hillu og önnur lykilforgangsmál eins og fjármál, gæði, öryggi starfsfólks og þjónustu við viðskiptavini. Þeir þurfa að leiða með fordæmi og skapa menningu þar sem upplýsingaöryggi er sameiginlegt verkefni allra.

Upplýsingaöryggi er spurning um forystu, ekki kostnað. Það er mælikvarði á ábyrgð, framsýni og gæði stjórnunar. Stjórnendur setja tóninn. Og í stafrænum heimi er sá tónn annað hvort skýr og ábyrgur eða dýrkeyptur.

Höfundur er sérfræðingur í net- og upplýsingaöryggi hjá netöryggissviði Fjarskiptastofu.