Utbildning och transport sämst på säkerhetskultur

Mer än 120 000 anställda har deltagit i analysen, som omfattar företag i alla världsdelar. Skalan går från 0 till 100. En poängsumma över 90 motsvarar en utmärkt säkerhetskultur, ett resultat på mellan 80 och 89 poäng visar att företaget har en bra säkerhetskultur, medan företag som får mellan 60 och 79 poäng har en kultur som betecknas som måttlig. Om verksamheten får mindre än 60 poäng, har den en dålig säkerhetskultur. Företagen bedöms utifrån de sju dimensionerna attityd, beteende, kognition, kommunikation, normer, ansvar och efterlevnad.

Mänskliga fel drabbar

– Vi är förvånade att många företag fortfarande får relativt låga poäng när det gäller säkerhetskulturen. Mer än nio av tio företag har det som vi definierar som en måttlig säkerhetskultur. När vi vet att kriminell IT-aktivitet drabbar företag varje dag och orsakar både direkta kostnader, och oftast tar stora resurser i anspråk för att säkra de digitala värden som står på spel när detta sker, är det förbryllande att många företag inte arbetar mer med detta, säger Kai Roer, vd på CLTRe, ett KnowBe4-företag. Företaget är det globala forskningscentret inom säkerhetskultur för säkerhetskoncernen KnowBe4.

De bästa är bäst på allt

Analysen omfattar bland annat utbildning, rutiner och system, samt kommunikation och uppföljning av medarbetarna.

– Kulturen kan ha stor inverkan på säkerheten i en organisation. Målet med denna studie är att erbjuda marknaden den mest omfattande studien inom kultur som påverkar cybersäkerheten. Det vi bland annat ser är att det inte varierar så mycket mellan branscherna från dimension till dimension. De som är bäst gör mycket rätt på alla områden, medan de som får lägst poäng genomgående är dåliga på allt, säger Roer.

Låg poäng för samhällskritiska branscher

Han tycker att det är oroande att flera av branscherna som levererar samhällskritiska tjänster eller produkter, som energisektorn och offentliga företag, är dåliga på säkerhetskultur och att de som hanterar känsliga uppgifter, som utbildning, ligger långt ner på listan.

– Energisektorn har varit bra på det tekniska, men försummat den mänskliga faktorn. Det är intressant mot bakgrund av att de största kända fallen av digitala attacker beror just på mänskliga misstag. Inom offentlig sektor och utbildning har allt fler tjänster och mer data blivit tillgängliga online för att underlätta för användarna. Då bör även arbetet med säkerhetskulturen intensifieras för att skydda informationen på bästa möjliga sätt, säger han.

Förbättring av efterlevnaden

”Security Culture Report” publicerades första gången 2017 och visar säkerhetskulturens status i både privata och offentliga företag. I årets upplaga har CLTRe analyserat arbetet i alla världsdelar.

– Det som är positivt i årets undersökning är att många företag och branscher har förbättrats sedan den förra analysen. Det område där vi ser den mest positiva utvecklingen är efterlevnad. De anställda använder den kunskap de har och är medvetna om säkerhetsrisker och vilka aktiviteter som innebär risker, säger Kai Roer.

Säkerhetskulturpoäng fördelat efter bransch

Bank	76
Finansiella tjänster	76
Försäkring	75
Konsulttjänster	75
Servicebranscher	75
Teknik	75
Hälsa och farmaci	74
Konsumenttjänster	73
Välgörenhetsorganisationer	72
Andra	72
Bygg och anläggning	71
Energi	71
Produktion	71
Juridiska tjänster	71
Offentlig sektor	71
Handel	71
Transport	70
Utbildning	68