Formelle regler og procedurer omkring it-sikkerhed er en stor del af det at drive virksomhed i dagens digitaliserede verden, og man må som virksomhed ofte arbejde på tværs af medarbejdergrupper og afdelinger for at blive compliant. Men hvordan man helt konkret skaber en it-sikkerhedskultur, kan være en svær og uhåndgribelig proces for mange virksomheder.

”Ofte er der fokus på at forklare medarbejderne, hvorfor de skal gøre visse ting. Men nogle gange fungerer det bedre, når man på en relevant og nærværende måde forklarer, hvad det er medarbejderne helt præcist skal gøre. På den måde får de en større forståelse for, hvad det er for en adfærdsændring, der skal til for at ændre kulturen, ” siger Kenny Andreasen, CTO og CIO i Herobase.

Ingen universel tilgang

For at skabe en sikkerhedskultur er det ikke så vigtigt, hvad der står nedskrevet i formelle dokumenter og procedurer. Det handler i langt højere grad om at få skabt en grundlæggende bevidsthed omkring it-sikkerhedskulturen hos alle i virksomheden, og at gøre det gennem nogle korte, konkrete og nærværende budskaber.

“Man er nødt til at tage udgangspunkt i, hvilken organisation man arbejder i, hvilken kultur der i forvejen eksistere i organisationen, og hvad det er for nogle medarbejdere organisationen består af. Det er kun hvis du har dette som udgangspunkt, at du kan lykkes med at skabe en adfærdsændring,” fortsætter Kenny Andreasen.

Sådan skaber du en it-sikkerhedskultur

Hos Herobase har de selv arbejdet med at skabe en god it-sikkerhedskultur, og de har tre råd, hvis man skal lykkedes med de nødvendige adfærdsændringer:

  1. Få skrællet så meget som muligt af det akademiske og formelle væk.
  2. Gør budskaberne korte, relevante, lavpraktiske og jordnære.
  3. Jo kortere dit budskab er, jo større er forudsætningerne for, at det lykkes at få folk med på kulturen.