Når ledelsen svekker sikkerhetskulturen
Jeg oppdaget nylig en ganske ubehagelig sannhet fra vår 2025-undersøkelse blant 2 000 nordiske medarbeidere. Vi snakker ofte om den "menneskelige brannmuren" som om det var en teknisk komponent vi bare kan installere – men våre resultater tyder på at fundamentet krakelerer helt på toppen av organisasjonene våre.
Tallene er tankevekkende. Kun 38 % av medarbeiderne svarer ja på at lederne deres regelmessig diskuterer cybersikkerhetsrisiko. Enda mer talende? Bare 57 av 2 000 respondenter – under 3 % – mener at ledelsen er bedre til å følge sikkerhetsreglene enn dem selv. Dette skaper et farlig gap hvor sikkerhet blir oppfattet som en rekke praktiske oppgaver for de ansatte, fremfor en felles verdi for forretningen.
Dette gapet mellom policy og atferd er noe vi også undersøker nærmere i vår nyeste analyse.
Last ned whitepaperet “Slik bygger du bro mellom kunnskap og handling” og lær hvorfor sikkerhetsopplæring sjelden endrer atferd i praksis.
Jeg snakket med adferdsdesigner Casper Danholt Iuul om dette, og han minnet meg på at "sosiale normer" er sterkere enn noen manual. Hvis en administrerende direktør lar den bærbare maskinen sin stå ulåst i et møterom med glassvegger, taler denne tause handlingen høyere enn tusen obligatoriske e-læringsmoduler. Medarbeiderne lærer raskt at sikkerhet bare er et hinder man skal unngå, i stedet for en naturlig del av arbeidsdagen.
Hvis du vil endre denne kulturen, trenger du ikke et enormt budsjett eller et ukeslangt seminar. Du må gjøre sikkerheten synlig og menneskelig. Mitt råd til enhver leder er å innføre "60 sekunder med sikkerhet" i starten av ledelsesmøter.
Bruk et minutt – hverken mer eller mindre – på å drøfte en enkelt observasjon relatert til sikkerhet. Det skal ikke være et teknisk foredrag. Kanskje roser du en avdeling for å ha rapportert inn mange mistenkelige e-poster, eller du deler en personlig historie om et phishing-forsøk du selv holdt på å gå på. Ved å være sårbar og ved å si det høyt, fjerner du stempelet om at det "bare er noe for IT-avdelingen", og signaliserer at sikkerhet er en kjerneprioritering for forretningen.
Når du snakker om sikkerhet, sender du et signal om at det er en forretningsmessig prioritet og ikke bare et IT-problem. Hos NorthGRC tror vi på at compliance er en felles reise. Den begynner når ledelsen slutter å bare peke på reglene, og i stedet begynner å gå veien sammen med teamene sine.
Les om NorthGRCs Awareness Module for kampanjer innen sikkerhetsbevissthet.
Utforsk modulen