CISO

Mit Syn på IT-Sikkerhed

Hvorfor arbejdsmiljø og adfærd er fundamentet for ISO 27001 og NIS2


“Vi kender alle følelsen af at gå på indkøb med en tom og sulten mave. De mest utrolige impulser sættes i gang, og pludselig lander der alt muligt sødt og uplanlagt i kurven. Præcis sådan fungerer vores IT-sikkerhed også i hverdagen.”

Når vi lader autopiloten tage over på arbejdspladsen, eller når vi forsøger at navigere i kritiske systemer i en tilstand af træthed og pres, bliver vi sårbare. Man kan kigge på formularer og skærme hele dagen, mens autopiloten mekanisk læser e-mails eller besvarer opkald. Jo mindre mentalt overskud og opmærksomhed vi har, desto nemmere et offer bliver vi for eksterne trusler.

Sikkerheden forringes markant, når arbejdsmiljøet er dårligt. Stress er ikke blot et helbredsproblem; det er en direkte og kritisk sårbarhedsfaktor i forhold til at opretholde en sikker IT-adfærd.

Urimelige krav er en sikkerhedsrisiko

Urimelige arbejdskrav og mangelfuld forventningsafstemning slider på medarbejdernes kognitive overskud. Cybersikkerhed er ganske vist en reel trussel, men det er ikke et ufravigeligt løfte om, at man absolut bliver lagt ned af et angreb – i hvert fald ikke hvis man forebygger rigtigt.

Hvis en leder sørger for en udførlig og klar stillingsbeskrivelse, udviser en anerkendende adfærd og skaber en kultur, hvor det er legitimt at bruge et minut ekstra på at vurdere, om en henvendelse er fup eller fakta, så lukker man effektivt de huller, som stressen ellers ville skabe.

NIS2 og ISO 27001 som en “IT-Sikkerheds-APV”

Vi skal væk fra den forældede tankegang, hvor IT-sikkerhed er noget, ledelsen trækker ned over hovedet på medarbejderne som et sæt irriterende og restriktive regler. Det skal i stedet være et tæt samarbejde om at finde en fælles sikkerhedskultur, der giver mening for alle parter i hverdagen.

Koblingen til rammeværkerne

Når vi taler om de moderne lovkrav og standarder, er det netop dette menneskelige aspekt, der slås fast:

  • NIS2-direktivet placerer et direkte og personligt ledelsesansvar for risikostyring. Det er ledelsens opgave at sikre, at organisationen ikke er fyldt med “autopiloter”, der klikker i blinde på grund af tidspres.
  • ISO 27001/2 (særligt omkring organisatorisk sikkerhed og awareness) danner rammen for en struktureret proces, hvor adfærd, transparent ledelseskultur, viden og opsamling af erfaring sættes i system.

For mig at se kan implementeringen af NIS2 og ISO-standarderne bedst beskrives som en form for IT-sikkerhedsmæssig APV (Arbejdspladsvurdering). Det er en dynamisk proces, der bygger bro mellem de hårde tekniske kontroller og medarbejdernes faktiske trivsel og adfærd i hverdagen.

Formålet med denne tilgang er at skabe robuste IT-infrastrukturer, der beskytter både virksomhedens data og de mennesker, der arbejder med dem til daglig.