Digital sikkerhetskultur i virksomheter


Å kjenne sin egen sikkerhetskultur er en veldig stor fordel for enhver organisasjon. De ansatte vil alltid være i fremste linje i virksomhetens forsvar mot cybertrusler, og sikkerhetskulturen er på mange måter avgjørende for hvor godt virksomheten takler sikkerhetsrelaterte utfordringer.

Sikkerhetskulturen er en del av organisasjonskulturen, og handler derfor om hvilke verdier som ligger til grunn for den enkeltes valg for håndtering av informasjon og systemer. Sikkerhetskultur er dermed den felles oppfattelsen virksomheten har, som har positive eller negative konsekvenser for informasjonssikkerheten. – Difi

Virksomheter med dårlig informasjonssikkerhet vil måtte regne med større tap i forbindelse med angrep og svindel, mens virksomheter med god informasjonssikkerhet vil kunne øke sin inntjening ved å være bedre rustet i møte med truslene.

Kartlegging av sikkerhetskultur

Det er viktig at ledelsen kjenner til sikkerhetskulturen i egen virksomhet slik at de forstår hvordan medarbeiderne forholder seg til digitaliseringen og digitale trusler. Hvis de ansatte er motstandsdyktige mot slike trusler, samtidig som de gjør sikre valg når de bruker virksomhetens datasystemer, lykkes virksomheten med sikkerhetsarbeidet. En virksomhets digitale sikkerhetskultur kan beskrives ved hjelp av følgende nøkkelkomponenter:

 

Ved å kartlegge disse, får man et grunnlag for å kunne beskrive og forstå den digitale sikkerhetskulturen i virksomheten på en helhetlig måte.

Les mer: Se veiledning på nettvett.no om digital sikkerhetskultur

Hvordan kan ledere bidra til å bedre informasjonssikkerheten i egen virksomhet?

 • Det er lederens ansvar at informasjonssikkerheten i virksomheten ivaretas, så de ansatte bør kunne forvente at lederen har den nødvendige kompetansen til å gjøre det.
 • Å utvikle eller påvirke kulturen i virksomheten er en kontinuerlig prosess som krever en helhetlig tankegang og innsats på mange områder samtidig. Det bør dermed forventes av lederen at virksomheten har en digital sikkerhetskultur som faktisk bidrar til at virksomheten når sine mål på en sikker måte. Kartlegging og andre former for måling bidrar til økt situasjonsforståelse.
 • Det bør kunne forventes at lederen sørger for at de ansatte får nødvendig kunnskap, og at denne holdes vedlike. Opplæring og bevisstgjøring setter de ansatte i stand til å ta sikre valg på arbeidsplassen.
 • Sikkerhetstiltak er ofte kostbart, og både for mye eller for lite sikkerhet kan forhindre at virksomheten når sine mål. Det bør forventes at lederen sørger for at det finnes styringssystemer for informasjonssikkerhet for å effektivt kunne koordinere innsatsen på sikkerhetsområdet.
 • Lederen bør være et godt forbilde, og være tydelig på hvordan sikkerhetskulturen skal være i virksomheten.

Hvordan kan hver enkelt bidra til å bedre informasjonssikkerheten i egen virksomhet?

Det er lederens ansvar at informasjonssikkerheten i virksomheten ivaretas. Men; informasjonssikkerheten på jobb er noe alle skal bry seg om. Slik kan du bidra:

 • Selv om lederen har det overordnede ansvaret for informasjonssikkerhet i virksomheten, må alle ta ansvar selv også. Kun da vil virksomheten kunne få en god og robust sikkerhetskultur.
 • Følg regler og rutiner for informasjonssikkerhet, de er til for å beskytte deg og de rundt deg mot digitale trusler.
 • Ser du alvorlige brudd på sikkerheten på jobb? Ta ansvar og si ifra til den det gjelder, eller til nærmeste leder.
 • Blir du utsatt for svindelforsøk eller andre former for datakriminalitet? Rapporter om hendelser og trusler.
 • Vet du nok om hvordan du skal beskytte deg mot digitale trusler? Hvis ikke; sørg for at du får opplæring, eller søk selv opp den informasjonen du trenger.
 • Du må selv vurdere risiko for enkelthandlinger, husk stopp-tenk-klikk!

 

 

Informasjon fra Nasjonal sikkerhetsmåned er hentet fra flere kilder. Nasjonal sikkerhetsmåned vurderer informasjon før publisering, men Nasjonal sikkerhetsmåned kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.