Hr:s ansvar: Utbilda medarbetarna i säkerhet


2019-10-07 - TEMA. Cyberattackerna väntas öka i Sverige. Under 2018 drabbades hälften av de 100 största bolagen i Sverige av intrång. Hr har ett särskilt ansvar för att stärka en potentiell sårbarhet i säkerhetskedjan: medarbetarna.

"Att inte utbilda medarbetarna på ett seriöst sätt blir lite som att sätta 100 lås på dörren och sedan ändå låta den vara öppen" säger Jesssica Garpvall, konsult inom cybersäkerhet. Foto: Gustav Sjöholm/TT.

I Sverige har hälften av de 100 storbolagen i PwC:s undersökning Cyberhot mot Sverige 2019 varit utsatta för en ­cyberattack under 2018. Utvecklingen framåt väntas bli ännu dystrare. 65 procent räknar med att 2019 blir ett år med fler cyberattacker mot den egna organisationen än 2018.

I samma rapport framkommer det att bolagen vill se mer handlingskraft från politikerna när det gäller utbildningsinsatser. 95 procent tycker att cybersäkerhet bör involveras redan i grund- och gymnasieskolan som en del i lärandet om digitalisering. 77 procent anser att det behövs fler specifika utbildningar med inriktning cyber- säkerhet på universitet och högskolor.

Även hos företagen själva finns potential att bygga en starkare säkerhetskultur och utveckla medarbetarnas ­säkerhetsmedvetenhet, menar Jessica Garpvall, ­konsult inom cybersäkerhet på PwC och som har rollen som ­Human-Centric Security Leader med fokus på människocentrerad säkerhet. Till vardags hjälper hon organisationer med att höja medvetenheten om och utbilda i frågor som berör cybersäkerhet. Trots att it ofta är beställare har Jessica Garpvall ofta nära dialoger med hr och andra relevanta aktörer inom en organisation.

– Att inte utbilda medarbetarna på ett seriöst sätt blir lite som att sätta 100 lås på dörren och sedan ändå låta den vara öppen. Vi måste se till att människor får den utbildning och övning som behövs, så att de förstår sin roll och sitt ansvar i ett effektivt säkerhetsarbete.

Att bygga en stark säkerhetskultur kräver ledningens engagemang, teknisk kompetens och inte minst – att medarbetare introduceras, och återkommande utbildas och tränas i säkerhet. Här spelar hr såklart en viktig roll. Hr-funktionen känner organisationen väl och har många ­kontaktytor. Utmaningen ligger i att få hela personalstyrkan till att agera på ett säkert sätt, både när vi använder system men även i andra sammanhang som på möten och på stan.

Jessica Garpvall nämner samverkan, dialog och lång-­siktighet som viktiga komponenter för att hålla fanan högt inom säkerhet. En god grund för detta arbete är en riskanalys för att på så vis kunna identifiera riskerna, ta höjd för dem och utforma rätt insatser för rätt målgrupper. Av vikt är sedan att mäta, följa upp och utvärdera resultatet över tid.

– Någon slags årlig utbildning är minimikrav, men specifika grupper som exempelvis hanterar större mängder känslig persondata (vilket hr ofta gör) har ett större behov av ­riktade insatser, för att säkerställa en god och säker ­datahantering. Just utbildning och träning i cybersäkerhet är inget som ordnas vid ett enda tillfälle, utan bör vara en ständigt pågående process.

Införandet av gdpr var för många, och i synnerhet för hr, en väckarklocka för vikten av att hantera persondata på ett sätt som skyddar och respekterar individens integritet och rättigheter.


Jessica Garpvall, konsult inom ­cybersäkerhet.

– Hr hanterar ofta känslig information och därför behöver hr även utbildas för att få en förståelse för sitt ansvar för denna data för att på så sätt säkerställa adekvat skydd och hantering.

Det är också viktigt att ställa rätt krav vid anlitande av leverantörer eller vid outsourcing. Även om systemleverantörer har ett ansvar för att systemen är säkra behöver kunder också vara tydliga med sina krav, både när det kommer till önskade säkerhetsåtgärder men också gällande exempelvis incidentrapportering.

– Vi brukar säga att det inte handlar om om något händer, utan när något händer. Det är heller inte enbart de stora drakarna som drabbas utan det berör alla organisationer i alla sektorer.

Det är i princip omöjligt att skydda sig mot allt – därför är det av vikt att se till att man har en inövad plan på plats innan något inträffar, så att man oavsett vad som inträffar har förutsättningar för att rapportera, meddela eventuella drabbade samt hantera konsekvenserna av det inträffade, menar Jessica Garpvall.

– För personuppgiftsincidenter går tanken snabbt till ­regulatoriska krav och sanktionsavgifter men en incident kan även få stora operationella konsekvenser liksom för ett företags förtroende och varumärke.

Samtidigt kan god hantering av en incident bygga förtroende och bli en bra källa till lärande.

– När något har inträffat och man är igenom det, så lär av det! Återför de erfarenheterna, det behövs ett kontinuerligt förbättringsarbete.

JENNIE JENSEN

Läs också:

Hr är måltavla för cyberattacker

Håll koll på riskerna med molnlösningen

"Var hälsossamt paranoida"

Hr behöver lära mer om it-säkerhet


JUST NU PÅ FÖRSTA SIDAN