En viktig del när det kommer till att förbättra cybersäkerheten i en organisation är att få med människorna på tåget. Hur ska man förändra hur människor agerar när det kommer till säkerhet? Mitt examensarbete har undersökt detta och utifrån det försökt besvara hur man kan förbättra säkerheten med hjälp av förändringsledning.
Många säkerhetsprojekt misslyckas. En anledning till det är att mycket fokus ligger på de tekniska lösningarna med säkerhet medan man inte fokuserar tillräckligt på den mänskliga faktorn. Det är viktigt att förändra hur människor agerar när det kommer till säkerhet - det spelar ingen roll hur säkra de tekniska lösningarna är ifall människorna i organisationen inte agerar på ett säkert sätt. Mitt examensarbete har därför fokuserat på att undersöka hur företag kan förbättra säkerheten med hjälp av förändringsledning. För att besvara detta har jag genomfört intervjuer med CISOs (Chief Information Security Officers) på olika företag inom bland annat Energi-, Transport- och Telecombranschen. Jag har även intervjuat andra medarbetare på de här företagen för att även få in deras perspektiv. Sedan har jag intervjuat konsulter inom cybersäkerhet och förändringsledning på Knowit. Utifrån dessa intervjuer har jag identifierat ett antal nyckelfaktorer för att lyckas med förändringsledning i säkerhetsarbeten.
De huvudsakliga aktiviteter som har identifierats under mina intervjuer för att skapa en lyckad säkerhetskultur i organisationen kan delas in i åtta steg:
1. Först och främst är det viktigt att få ledningens stöd för säkerhet. Det gäller att få ledningens engagemang för säkerhet och få dom att förstå varför förändringen är av stor betydelse.
2. Därefter är behöver man hitta nyckelpersoner som kan hjälpa till att leda det här arbetet. Här gäller det att hitta de som har ett intresse av att lära sig mer om säkerhet och involvera dessa tidigt så att dom kan bli interna förändringsledare. Det är fördelaktigt om någon från ledningsgruppen är involverad så att ledningen har en förståelse över säkerhetsarbetet.
3. Sen är det också viktigt att skapa en säkerhetsvision, som bör vara tydlig och kraftfull för säkerhetsarbetet så att alla i organisationen kan bli motiverade att följa den. När man skapar den här visionen behöver man även synka förväntningar. Det här är ett arbete som tar tid och det gäller att alla är överens och medvetna om omfattningen och hur detta arbete ska genomföras.
4. Under själva förändringen så är det viktigt att kunna kommunicera säkerhet till medarbetarna. Här är en grundläggande del att kommunicera både allvaret och konsekvenserna med säkerhet men också visa på positiva aspekter och framgångssagor. För även om det är effektivt att prata om hot och allvaret med säkerhet eftersom det kan ha allvarliga konsekvenser om man inte tänker på säkerheten så behöver man kommunicera de fördelar och positiva bitar med säkerhet för att inte medarbetarna ska få en negativ bild av området. Det är också viktigt att vara transparent och även kommunicera ifall det händer någon intern incident i organisationen. Respondenterna har även uttryckt att man ska utnyttja många olika kanaler för att kommunicera ut budskapet inom organisationen.
5. Därefter är det av stor betydelse att utbilda medarbetarna inom säkerhet för att de ska kunna förstå, och här är det enligt respondenterna effektivt att ha micro-utbildningar, alltså korta utbildningar, kontinuerligt. Även att man försöker göra utbildningarna roliga och interaktiva så att medarbetarna själva får ”learn by doing”.
6. En annan nyckelfaktor är att möjliggöra för medarbetarna att komma med feedback och förbättringsförslag. Som en medarbetare nämnde så var det många gånger medarbetarna som uppmärksammade när det var någon säkerhetsbrist eller något som behövde göras när det kommer till säkerhet.
7. För att behålla förändringen och skapa den här säkerhetskulturen, så är det viktigt att utvärdera och mäta effekten av förändringen. Och här behöver man inte bara mäta hur många som till exempel genomfört utbildningen utan även mäta förändringen i säkerhetsbeteende före och efter förändringen.
8. Sen är det av stor vikt att fortsätta förändra. Det här är ett långsiktigt arbete som tar tid och kräver ständiga förbättringar hela tiden för att få in säkerhet som en del av företagskulturen.
Utöver dessa faktorer så är även ledarskapet en väsentlig del när det kommer till förändringsledning. Utifrån intervjuerna har jag identifierat ett antal ledaregenskaper som är relevanta för ett lyckat säkerhetsarbete. Bland annat är det viktigt att de som leder säkerhetsarbetet kan lead-by-example, alltså att de kan prioritera och göra på det sättet som de vill att medarbetarna ska göra. För om inte ledningen väljer att ha ett säkerhetstänk och prioritera säkerheten så kommer inte medarbetarna heller göra det. En annan egenskap är att man ska kunna vara öppen för frågor och lyssna på medarbetarna. Det gäller att de kan våga fråga vad de vill när det kommer till säkerhet och inte känna att någon fråga är för dum att ställa.
Jag har även tittat på medarbetarnas perspektiv i en organisation och hur de upplever säkerhetsarbetet. Från dessa intervjuer har jag identifierat ett antal behov som medarbetarna har för att kunna skapa mening av förändringen. Medarbetarna har bland annat ett behov av att känna sig involverade i säkerhetsarbetet och att förstå vad, hur, och varför det här ska göras. De har även ett behov av stöd; det behöver alltså finnas möjlighet för medarbetarna att kunna komma och ställa frågor och ha någon att prata med angående säkerhet. Medarbetarna har även ett behov av reflektion. De behöver ha tid och möjlighet att reflektera det de har lärt sig om säkerhet.
Jag har sammanställt det jag har fått fram i ett ramverk (se nedan) som försöker illustrera de nyckelfaktorer som är viktiga att ta hänsyn till för att skapa en lyckad säkerhetskultur där det finns ett säkerhetstänk hos alla medarbetare.
Hela Emmas exjobb finns att läsa här.