Sikkerhetskultur er den delen av organisasjonskulturen som omhandler ansattes forhold til informasjonssikkerhet. Sikkerhetskultur er altså summen av verdier, holdninger, kunnskap og normer relatert til sikkerhet blant de ansatte i en organisasjon.

Faktaboks

Også kjent som

sikkerhetsbevissthet

En god sikkerhetskultur innebærer at ansatte forstår trusselbildet og hvordan dette påvirker bedriftens mål. Ansatte bør besitte nok kunnskap både om datasikkerhet og trusler til å kunne gjenkjenne pågående og utførte dataangrep som helt eller delvis innbefatter sosial manipulering. I tillegg bør den ansatte være i stand til å gjøre gode preventive tiltak ut i fra sin arbeidssituasjon, slik som fornuftig håndtering av passord. Opplæring er derfor et viktig virkemiddel for å bedre sikkerhetskulturen.

Ansattes mulighet til å varsle om sikkerhetshendelser er en sentral del av sikkerhetskulturen. Her må varslingsrutiner være godt kjent, samt at de ansatte ikke frykter å bli latterliggjort eller ansvarliggjort for egne feiltrinn.

I praksis vil bedriftens sikkerhetskultur ofte settes på prøve av andre motstridende krav og ønsker, slik som effektivitet og kundetilfredshet. Andre faktorer slik som mangel på motivasjon for arbeidet, mangel på lojalitet til arbeidsgiver og et personlig ønske om minst mulig arbeidsbelastning kan også prege sikkerhetskulturen.

Sikkerhetskultur og sikkerhetsfilosofi

Ofte sidestilles sikkerhetskultur med sikkerhetsfilosofi og tilhørende retningslinjer, regler og rutiner. Dette er imidlertid ikke helt korrekt. Sikkerhetskultur kan i det ene ytterpunktet sees på som å være sikkerhetsfilosofiens etterlevelse i praksis, i det andre ytterpunktet som et kunnskaps og motivasjonsbasert alternativ til en regelstyrt håndtering av informasjonssikkerheten.

For de fleste bedrifter vil sikkerhetskulturen være en mellomting mellom disse ytterpunktene. For å oppnå en god sikkerhetskultur bør uansett retningslinjer og rutiner fra en sikkerhetsfilosofi begrunnes og forklares.

Måling av sikkerhetskultur

Selv om det er et uttalt ønske om å ha en god sikkerhetskultur, er det ikke lett å angi hvor god en sikkerhetskultur faktisk er. Nivået vil best vise seg ved faktiske sikkerhetshendelser og hvordan disse håndteres.

Det kan imidlertid utføres varslede og ikke varslede sikkerhetstester og øvelser for å se hvordan de ansatte responderes. Det er også mulig å gjennomføre kunnskapstester av de ansatte, selv om dette ikke fullt ut reflekterer faktisk håndtering i praksis.

Les mer i Store norske leksikon

Kommentarer

Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.

Du må være logget inn for å kommentere.

eller registrer deg