Förmodligen är du som läsare redan väl bekant med din organisations informationssäkerhetspolicy och syftet med den. Frågan är om resterande personal tagit del av och minns vad som står i den? Och vilken inverkan har den egentligen?
Måste vi ha en informationssäkerhetspolicy?
Vissa organisationer är certifierade mot exempelvis ISO 27001, vilket ställer krav på detta. I andra fall kan det vara kunder som kräver att en informationssäkerhetspolicy finns på plats. Tillhör du en myndighet kan det vara juridiskt reglerat på tillämpning av ett LIS, vilket bl.a. omfattar upprättande av sådan dokumentation. Däremot är utformningen av densamma i regel mer flexibel. Tillhör du inte ett av de stora FAANG-företagen (Facebook, Apple, Amazon, Netflix och Google) så behöver din policy knappast vara ett långt och svårnavigerat dokument som täcker in varenda säkerhetsaspekt. Håll det enkelt och sätt i stället fokus på att den ska bistå i dess informationssäkerhet.
Gör den någon skillnad?
Det är givetvis svårmätbart, men hur informationssäkerhetspolicyn är utformad och hur den kommuniceras är viktigt. I en kanadensisk studie med 77 organisationer och 312 anställda undersöktes bland annat vilka effekter som straff och press har för incitamentet till efterlevnad av informationssäkerhetspolicy. Studien visade att säkerhetsbeteende influeras av både inneboende och yttre motivation. Press som utgår från subjektiva normer och kollegor påverkar de anställdas informationssäkerhetsbeteende i hög grad. Även straff visade sig ha en signifikant effekt. Anmärkningsvärt nog visade det sig däremot att kraftiga påföljder (”straff”) hade en negativ effekt på efterlevnaden.
En trolig förklaring till detta är att det skapar en fientlig hållning som stör det samarbete som egentligen är målsättningen. Studien lyfte fram att sannolikheten för en påföljd var den mest avskräckande av de tre aspekterna (allvarlighetsgrad, sannolikhet och snabbhet) som jämfördes.
Ytterligare förutsättningar?
Det är viktigt att alla i organisationen tar till sig innehållet i policyn och att det efterlevs hela vägen från CEO ned till den senast anställde. Om cheferna själva inte efterlever den, varför skulle någon annan? Följer det inga konsekvenser av att inte efterleva policyn (även för cheferna) skapas det lätt ett misstroende till den. Utformningen måste dock vara sådan att alla kan ta sig till innehållet samt ha tillräckliga förutsättningar att handla efter det.
Begränsa inte handlingsutrymmet för mycket utan att erbjuda alternativ, eftersom det annars kan leda till att satta ramar kringgås. Om det inte är möjligt att förmå de anställda att efterleva policyn är det lätt att ifrågasätta dess mening.
Arbetsgivaren vill känna förtroende gentemot arbetstagarna då dessa har tillgång till allt från lokaler, strategiska planer, databaser och mycket mer. Men en ökad awareness om risker leder samtidigt till striktare policys. En policy som inte guidar den anställde till ett sunt säkerhetsmedvetet beteende kan utsätta er organisation för stor risk. Därav bör personal presenteras för innehållet vid upprepade tillfällen så att det sjunker in varförde ska handla på ett visst sätt.
Ett ytterligare sätt att förmå personalen att bättre ta till sig innehållet är att låta dem signera att de läst och förstått. Även om policyn inte är ett avtal kan följderna av att bryta mot den få juridiska konsekvenser och underlättar för arbetsgivaren att vidta åtgärder.
En strategi för att sprida säkerhetsmedvetenhet (awareness) kan effektivt ske genom att se till användarna vet var den finns, hur den ska tillämpas, hur den är avsedd att förbättra verksamheten, hur vitalt skyddet av information är, och konsekvenserna av att bryta mot efterlevnad. Understryk och förklara varför säkerhet är allas ansvar och förklara deras roll för den totala säkerheten. Det är vanligt att tro att det är något som ligger [bara] på IT-avdelningens ansvar.
Levande dokument eller inte?
En policy ska hållas uppdaterad och bör revideras, exempelvis årligen eller vid större organisatorisk förändring. Men, om uppdateringarna är alltför frekventa så är policyn förmodligen för restriktiv eller specifik. För att underlätta kommunicering av förändringar i nya versioner bör de markeras på lämpligt vis.
Hur kan man följa upp?
En metod för att mäta efterlevnad av policyn bör etableras. Det kan bland annat inkludera regelbundna bedömningar av policyns effektivitet. Ansvariga för granskningen bör vara oberoende av personen som implementerar policyn. Områden som bör ingå i granskningen innefattar att stämma av så att användarna är medvetna, förstår och utför sina roller och ansvar så som beskrivet i policyn. En teknisk motsvarighet av granskning bör fokusera på konfigurationer av nätverk, operativsystem liksom andra kritiska system och applikationer.
Sammanfattningsvis: Ingen vill ha personal som bryter mot sina policys, och alla behöver känna till inom vilka gränser de kan verka och varför samt följderna av att inte följa dessa. Utformningen ställer även krav på tydlighet och tillämpbarhet i praktiken.