Uddannelse og transport scorer lavest inden for sikkerhedskultur

Flere end 120.000 medarbejdere har deltaget i analysen, som omfatter virksomheder i alle verdensdele. Skalaen går fra 0 til 100. En score over 90 svarer til en fremragende sikkerhedskultur, en score mellem 80 og 89 viser, at virksomheden har en god sikkerhedskultur, mens virksomheder, der har en score mellem 60 og 79 har en kultur, som betegnes som moderat. Hvis virksomheden får under 60 point har den en dårlig sikkerhedskultur. Virksomhederne vurderes på de syv dimensioner: holdning, adfærd, kognition, kommunikation, normer, ansvar og efterlevelse.

Menneskelige fejl rammer

– Vi er forbavset over, at mange virksomheder fortsat scorer relativt lavt på sikkerhedskultur. Flere end 9 ud af 10 virksomheder har det, vi har defineret som en moderat sikkerhedskultur. Når vi ved, at kriminel IT-aktivitet rammer virksomheder hver dag, og påfører dem, der rammes, både omkostninger og ofte betydeligt ressourceforbrug på at sikre de digitale værdier, som er i spil, når det sker, er det tankevækkende, at mange virksomheder ikke arbejder mere med dette, siger daglig leder Kai Roer i CLTRe, et KnowBe4-selskab. Selskabet er det globale forskningscenter inden for sikkerhedskultur for sikkerhedskoncernen KnowBe4.

De bedste er bedst til det hele

Analysen gennemgår blandt andet uddannelse, rutiner og systemer samt kommunikation og opfølgning af medarbejderne.

– Kultur kan påvirke en organisations sikkerhed betydeligt. Formået med dette studie er at tilbyde markedet det mest omfattende studie inden for kultur, som påvirker cybersikkerheden. Det, vi blandt andet ser, er, at der ikke er så store variationer i brancherne fra dimension til dimension. De, der er bedst, gør meget rigtigt på alle områderne, mens de med den laveste score, generelt er dårlige til alt, fortsætter Roer.

Lav score for samfundskritiske brancher

Han mener, at det er bekymrende, at flere af brancherne, der leverer samfundskritiske tjenester eller produkter, såsom energisektoren og offentlige virksomheder, gør det dårligt, og at de, der forvalter følsomme data, som for eksempel uddannelse, ligger langt nede på listen.

– Energisektoren har været dygtige til det tekniske, men har forsømt den menneskelige faktor. Det er interessant, når man ser de største, kendte tilfælde af digitale angreb, der har fundet sted på grund af menneskelige fejl. Inden for den offentlige sektor og uddannelsessektoren er stadig flere tjenester og data blevet tilgængelige via nettet for at øge brugervenligheden. Derfor bør også arbejdet med sikkerhedskultur intensiveres for at sikre informationen bedst muligt, siger han.

Forbedring af efterlevelse

"Security Culture Report" blev udgivet første gang i 2017, og giver en status på sikkerhedskulturen i både private og offentlige virksomheder. I årets udgave har CLTRe analyseret arbejdet i alle verdensdele.

– Det positive i årets løb er, at mange virksomheder og brancher har forbedret sig siden forrige analyse. Det område, vi ser en mest positiv udvikling på, er efterlevelse. Medarbejderne bruger de kompetencer, de har, og er bevidste om sikkerhedsrisici og aktiviteter, der fører til risici, tilføjer Kai Roer.

Sikkerhedskulturscore pr. branche

Bank	76
Finansielle tjenester	76
Forsikring	75
Konsulentvirksomheder	75
Serviceerhverv	75
Teknologi	75
Sundhed og lægemidler	74
Forbrugertjenester	73
Velgørenhedsorganisationer	72
Øvrige	72
Bygge- og anlægssektoren	71
Energi	71
Produktion	71
Juridiske tjenester	71
Offentlig sektor	71
Handel	71
Transport	70
Uddannelse	68