Vad är syftet med säkerhetsmedvetenhet
– egentligen?

Informationssäkerhet , Nyhet , Systematiskt säkerhetsarbete , Verksamhetsskydd
fredag 5 maj 2023

Som du säkert känner till talas det mycket just nu om vikten av att öka säkerhetsmedvetenheten, både i samhället generellt och i de flesta organisationer. Med utgångspunkt från denna trend har jag begrundat följande fråga: Vad är det vi egentligen vill åstadkomma när vi genomför utbildningar i säkerhetsmedvetenhet?

På ytan kan svaret tyckas självklart – avsikten är förstås att ”öka säkerhetsmedvetenheten” – men baserat på hur många organisationer sedan beskriver sina säkerhetsrelaterade utbildningsinsatser tillåter jag mig att tvivla på att man har tänkt över vad detta egentligen betyder.

För att närma oss själva kärnan i frågeställningen behöver vi därför först diskutera begreppet säkerhetsmedvetenhet i sig. Ofta beskrivs detta begrepp i mer eller mindre vaga termer: ”Säkerhetsmedvetenhet är ju, typ, kunskaper och attityder som medlemmar i en organisation har när det gäller säkerhet.” Inte en direkt felaktig beskrivning ur ett generellt perspektiv, men inte heller särskilt hjälpsamt.

Hur definieras ordet medvetenhet?

Kanske ligger en bidragande orsak till den otydliga definitionen av säkerhetsmedvetenhet i att ordet medvetenhet är ett relativt diffust begrepp, vanligtvis förknippat med andra semantiskt luftiga termer som förståelse och kunskap. Återigen – inget fel med det, men det ger oss inte direkt någon användbar vägledning kring vad vi borde fokusera våra utbildningsinsatser på rörande säkerhetsmedvetenhet.

I samband med detta skulle jag vilja introducera ett närliggande begrepp, som också har populariserats inom säkerhetsområdet på sistone: säkerhetskultur. Det finns flera olika sätt att se på och definiera säkerhetskultur, men begreppet kan generellt sammanfattas som de idéer, värderingar, attityder och beteenden inom en organisation som påverkar dess säkerhet. Det låter förvillande likt den likaledes vaga beskrivningen av säkerhetsmedvetenhet, eller hur? Inte konstigt att folk har en tendens att blanda ihop dessa begrepp…

Förresten, jag hoppas att ni noterade det sista ordet i definitionen av säkerhetskultur ovan – beteende? Bra, för det är viktigt, förmodligen det enskilt viktigaste ordet i hela den här texten, om jag bara fick välja ett.

Säkerhetskultur leder inte till förbättrat säkerhetsbeteende

Jag skulle också vilja passa på att reda ut något som många verkar ha fått om den berömda bakfoten: till skillnad från den allmänna uppfattningen så leder inte ett fokus på säkerhetskultur till ett förbättrat säkerhetsbeteende. I praktiken är det precis tvärtom – vi förbättrar säkerhetskulturen inom en organisation främst genom att optimera säkerhetsbeteendet. Idéer, värderingar och attityder gällande säkerhet är självklart också viktiga, men bara om de leder till förbättringar när det gäller faktiskt beteende. Annars blir ”säkerhetskultur” inget annat än ett substanslöst samlingsbegrepp för våra kollektiva – och således misslyckade – säkerhetsinsatser.

Ovanstående tes leder oss därmed direkt vidare till den naturliga följdfrågan: hur förbättrar vi i så fall säkerhetsbeteendet? Svaret är naturligtvis i hög grad kopplat till utbildning och information, men detta är inte alltid riktigt så enkelt som det ibland kan framstå.

Innan vi går in på den delen, fundera gärna lite över följande citat av Linus Torvalds (fritt översatt):

Teori och praktik kolliderar ibland. Och när det händer förlorar teorin. Varje gång.

Kloka ord, som återigen kan tyckas självklara, men som vi inte alltid efterlever i verkligheten. När vi utformar vårt säkerhetsutbildnings-program kan vi exempelvis använda enkäter och frågeformulär för att testa våra anställdas kunskaper om säkerhet, eller så kan vi använda simulerade phishingattacker för att testa våra anställdas faktiska mottaglighet när det gäller phishing. Ett annat scenario skulle kunna vara att vi använder sociala ingenjörstekniker, såsom VD-bedrägerier, vishing och tailgating för att utvärdera våra anställdas förmåga att känna igen och motstå dessa tekniker. I det första scenariot kontrollerar vi som synes i huvudsak teoretiska kunskaper, medan exemplen i det andra och tredje scenariot är mer praktiskt inriktade och fokuserade på att testa faktiskt beteende.

Optimera säkerhetsbeteendet inom organisationen

Frågan som vi alla bör ställa oss är vilka av ovanstående scenarion som är mest relevanta att lägga resurser på. De flesta av oss kanske inte behöver göra detta val – många av oss kan och bör göra samtliga – men frågan sätter ändå fokus på vikten av att utforma våra utbildningsinsatser kring säkerhetsmedvetenhet på ett sätt som leder till ett bättre säkerhetsbeteende i praktiken, inte bara till bättre teoretiska kunskaper om hur vi borde agera.

Som jag nämnde ovan gör vi tyvärr ofta olika – och mer eller mindre otydliga – tolkningar av dessa begrepp, vilket resulterar i ytterligare förvirring om hur begreppen relaterar till varandra och oklarheter kring vad vi faktiskt försöker uppnå när vi talar om att öka säkerhetsmedvetenheten. Men om vi förstår att säkerhetsmedvetenhetsutbildning i grund och botten är en sorts pedagogisk verktygslåda som vi kan utnyttja för att förbättra vårt säkerhetsbeteende – och att förbättrat säkerhetsbeteende är det som primärt påverkar vår säkerhetskultur i en positiv riktning – är vi mycket bättre rustade att fatta välgrundade beslut om var vi bör fokusera våra resurser för att få avsedd effekt.

Medvetenhet är första steget till förändring

Om vi nu går tillbaka till den ursprungliga frågan så kan vi – förhoppningsvis – vara relativt överens om att det huvudsakliga syftet med säkerhetsmedvetenhets-utbildning är att optimera säkerhetsbeteendet inom en organisation. Just därför är också en fördjupad förståelse för distinktionen mellan medvetenhet och beteende helt nödvändig, eftersom vårt sätt att särskilja och tolka dessa begrepp blir styrande för våra prioriteringar när det gäller vilka aspekter av medvetenhet och beteende som vi behöver utbilda inom, testa och övervaka.

Med en samsyn kring kontextuella begreppstolkningar är vi dessutom bättre rustade för att tolka och tillämpa resultaten från våra tester och mätningar – exempelvis resultat från simulerade phishingattacker – vilket i sin tur skapar förutsättningar för en positiv feedback-loop av kontinuerlig, faktisk förbättring.

Författare

Per Nyberg
CISO

Kontakta oss

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Vad är syftet med säkerhetsmedvetenhet– egentligen?