Når ledelsen svigter sikkerhedskulturen
Jeg opdagede for nylig en ret ubehagelig sandhed fra vores 2025-undersøgelse blandt 2.000 nordiske medarbejdere. Vi taler ofte om den "menneskelige firewall", som om det var en teknisk komponent, vi bare kan installere – men vores resultater tyder på, at fundamentet krakelerer helt oppe i toppen af vores organisationer.
Tallene er tankevækkende. Kun 38 % af medarbejderne svarer ja til, at deres ledere regelmæssigt diskuterer cybersikkerhedsrisici. Endnu mere sigende? Blot 57 ud af 2.000 respondenter – under 3 % – mener, at ledelsen er bedre til at følge sikkerhedsreglerne end dem selv. Dette skaber en farlig kløft, hvor sikkerhed bliver opfattet som en række praktiske opgaver for medarbejderne frem for en fælles værdi for forretningen.
Den kløft mellem politik og adfærd er noget, vi også undersøger nærmere i vores seneste analyse.
Download whitepaperet “Sådan bygger du bro mellem viden og handling” og få indsigt i, hvorfor awareness-træning sjældent ændrer adfærd i praksis.
Jeg talte med adfærdsdesigner Casper Danholt Iuul om dette, og han mindede mig om, at "sociale normer" er stærkere end nogen manual. Direktørens ulåste computer i mødelokalet taler højere end alle virksomhedens sikkerhedskurser tilsammen. Medarbejderne lærer hurtigt, at sikkerhed bare er et benspænd, man skal udenom, i stedet for en naturlig del af arbejdsdagen.
Se hele interviewet med adfærdsdesigner Casper Damholt Iuul og få indsigt i, hvordan adfærdsdesign påvirker sikkerhedskulturen.
Luk kløften med "60 sekunders sikkerhed”
Hvis du vil ændre denne kultur, har du ikke brug for et enormt budget eller et ugelangt seminar. Du skal gøre sikkerheden synlig og menneskelig. Mit råd til enhver leder er at indføre "60 sekunders sikkerhed" i starten af jeres ledelsesmøder.
Brug ét minut – hverken mere eller mindre – på at drøfte en enkelt observation relateret til sikkerhed. Det skal ikke være et teknisk foredrag. Måske roser du en afdeling for at have rapporteret mange mistænkelige mails ind, eller du deler en personlig historie om et phishing-forsøg, du selv var lige ved at hoppe på. Ved at være sårbar og ved at sige det højt fjerner du det stigma, at det "kun er noget for it-afdelingen", og signalerer, at sikkerhed er en kerneoprioritet for forretningen.
Når du italesætter sikkerhed, sender du et signal om, at det er en forretningsmæssig prioritet og ikke blot et it-problem. Hos NorthGRC tror vi på, at compliance er en fælles rejse. Den begynder, når ledelsen holder op med blot at pege på reglerne og i stedet begynder at gå vejen sammen med deres teams.
Læs om NorthGRC’s Awareness Module til awareness-kampagner inden for informationssikkerhed.
Udforsk modulet
