Sikkerhetskultur er den delen av organisasjonskulturen som handler om ansattes forhold til informasjonssikkerhet. Sikkerhetskultur er altså summen av verdier, holdninger, kunnskap og normer relatert til sikkerhet blant de ansatte i en organisasjon.
sikkerhetsbevissthet
En god sikkerhetskultur innebærer at ansatte forstår trusselbildet og hvordan dette påvirker bedriftens mål. Ansatte bør ha nok kunnskap både om datasikkerhet og trusler til å kunne gjenkjenne pågående og utførte dataangrep som helt eller delvis innbefatter sosial manipulering. I tillegg bør den ansatte være i stand til å gjøre gode forebyggende tiltak ut i fra sin arbeidssituasjon, slik som fornuftig håndtering av passord. Opplæring er et viktig virkemiddel for å bedre sikkerhetskulturen.
Ansattes mulighet til å varsle om sikkerhetshendelser er en sentral del av sikkerhetskulturen. Her må varslingsrutiner være godt kjent, samt at de ansatte ikke frykter å bli latterliggjort eller ansvarliggjort for egne feiltrinn. Å kollektivt lære av feil som blir begått, i stedet for å fordele skyld, er et viktig prinsipp i en god sikkerhetskultur.
I praksis vil bedriftens sikkerhetskultur ofte settes på prøve av andre motstridende krav og ønsker, slik som effektivitet og kundetilfredshet. Andre faktorer slik som mangel på motivasjon for arbeidet, mangel på lojalitet til arbeidsgiver og et personlig ønske om minst mulig arbeidsbelastning kan også prege sikkerhetskulturen.
I lys av økt vektlegging av nasjonal sikkerhet, og et større fellesskap enn bare enkeltbedrifter, har det også blitt vanligere å snakke om sikkerhetskulturen i samfunnet eller på tvers av virksomheter innen en bransje. Blant annet gjennomfører NorSIS annenhvert år en undersøkelse kalt «Nordmenn og digital sikkerhetskultur».
Ofte sidestilles sikkerhetskultur med sikkerhetsfilosofi og tilhørende retningslinjer, regler og rutiner. Dette er imidlertid ikke helt korrekt. Sikkerhetskultur kan i det ene ytterpunktet sees på som å være sikkerhetsfilosofiens etterlevelse i praksis, i det andre ytterpunktet som et kunnskaps og motivasjonsbasert alternativ til en regelstyrt håndtering av informasjonssikkerheten.
For de fleste bedrifter vil sikkerhetskulturen være en mellomting mellom disse ytterpunktene. For å oppnå en god sikkerhetskultur bør retningslinjer og rutiner fra en sikkerhetsfilosofi begrunnes og forklares.
Selv om det er et uttalt ønske om å ha en god sikkerhetskultur, er det ikke lett å angi hvor god en sikkerhetskultur faktisk er. Nivået vil best vise seg ved faktiske sikkerhetshendelser og hvordan disse håndteres.
Det kan imidlertid utføres varslede og ikke varslede sikkerhetstester og øvelser for å se hvordan de ansatte responderes. Det er også mulig å gjennomføre kunnskapstester av de ansatte, selv om dette ikke fullt ut reflekterer faktisk håndtering i praksis.
Sikkerhetshygiene er blitt et mye benyttet begrep, og mange forveksler dette med sikkerhetskultur. Sikkerhetshygiene henviser imidlertid på forholdsvis enkle prinsipper og rutiner, som effektivt kan forhindre eller minimere sikkerhetshendelser dersom ansatte følger de i arbeidet. Sikkerhetshygiene er sånn sett en brikke i sikkerhetskulturen.
Samtidig er sikkerhetskultur noe større, i og med at det også innbefatter elementer slik som kunnskap, motivasjon, verdier og holdninger.
For privatpersoner er det vanlig å snakke om sikkerhetshygiene.
Kommentarer
Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.
Du må være logget inn for å kommentere.