Informationssäkerhetskultur

Informationssäkerhetskultur

Medarbetarnas beteende kan få stor inverkan på informationssäkerheten i organisationer. Kulturella koncept kan hjälpa olika segment av organisationen att fungera effektivt eller arbeta mot effektivitet mot informationssäkerhet inom en organisation. ”Exploring Relationship between Organizational Culture and Information Security Culture” innehåller följande definition av informationssäkerhetskultur: ”ISC är totaliteten av beteendemönster i en organisation som bidrar till att skydda information av alla slag.”

Andersson och Reimers (2014) fann att anställda ofta inte ser sig själva som en del av organisationen informationssäkerhet ”ansträngning” och tar ofta åtgärder som ignorerar de bästa intressena för organisationens informationssäkerhet. Forskning visar att informationssäkerhetskulturen måste förbättras kontinuerligt. I ”Informationssäkerhetskultur från analys till förändring” kommenterade författarna: ”Det är en slutlig process, en utvärderingscykel och förändring eller underhåll.” För att hantera informationssäkerhetskulturen ska fem steg vidtas: Förutvärdering, strategisk planering, operativ planering, genomförande och eftervärdering.

Förutvärdering: Att identifiera medvetenheten om informationssäkerhet inom anställda och att analysera den nuvarande säkerhetspolitiken.
Strategisk planering: För att komma fram till ett bättre medvetenhetsprogram måste klara mål ställas in. Clustering [definition behövs] människor är hjälpsamma för att uppnå det.
Operativ planering: En god säkerhetskultur kan etableras baserat på intern kommunikation, management-buy-in och säkerhetsmedvetenhet och ett träningsprogram.
Genomförande: fyra steg ska användas för att genomföra informationssäkerhetskulturen.

Dom är:

  • Åtagandebestämmelser
  • Kommunikation med organisationsmedlemmar
  • Kurser för alla organisatoriska medlemmar
  • Åtagandes engagemang