Informella styrmedel - Cybersäkerhet - Att stärka den svaga länken : En flerfallsstudie om hur

4.3.1 Utbildning och träning

När frågan ställs om banken genomför utbildningar inom cybersäkerhet svarar respondenterna att det är ett krav från Finansinspektionen att ha minst en årlig utbildning som alla medarbetare måste gå. B berättar vidare att det står skrivet i ICT-regelverket att banken ska genomföra en informationssäkerhetsutbildning, eller som de kallar det - cybersäkerhetsutbildning, varje år. A poängterar att om en obligatorisk utbildning inte genomförs kommer den anställde bli påmind om att göra den. C lyfter fram att det kan bli disciplinära åtgärder om man inte genomför de obligatoriska utbildningarna då det påverkar förståelsen för reglerna. Just därför ska all personal genomgå en internutbildning en gång per år för att se så att de har tillräcklig kompetens (Person C).

4.3.1.1 Medvetenhet och motivation

För att göra säkerhetstänket till en naturlig del i det dagliga arbetet är det viktigt att utbildning kring cybersäkerhet genomförs kontinuerligt. I grund och botten handlar det om att skydda banken och dess kunder mot hot (Person E). Detta menar både B, C och E kan göras med hjälp av återkommande utbildningar. Eftersom B anser att ett av de största hoten som banken påträffar är misstag av anställda understryker B vikten av att ha bra rutiner så att misstag fångas upp. Trots att banken B arbetar på inte har haft några stora incidenter så tar B upp exempel på misstag som skett i andra branscher, och menar att anställda oftast inte gör saker medvetet. Både A och E håller med om att de flesta misstag av anställda begås oavsiktligt och E poängterar att det därför är viktigt att regelbundet påminna anställda om vikten av informationssäkerhet. Vidare berättar E att 95% av alla dataintrång initieras av ett phishing-mail som anställda går på. A bekräftar detta och förklarar:

“Vi ser ju det om man gör en phishing-kampanj till exempel - folk klickar på länkar trots att man inte ska klicka på länkar - det är så vi människor funkar för vi är ju nyfikna av

naturen.” (Person A).

Även C lyfter fram att det är viktigt att öka medvetenheten hos anställda, något som även C anser vara den bästa metoden för ökad kompetens. Båda A, B och C diskuterar problematiken i att människor i allmänhet ofta försöker hitta genvägar och B förklarar att det är viktigt att förstå vad konsekvensen blir av att göra det. Detta menar B gäller för hela samhället, att ett större konsekvenstänk behövs.

4.3.1.2 Utformning av utbildning

Vidare berättar A att dess arbetsgivare säkerställer att de anställda har rätt kompetens genom att kartlägga vem som jobbar med vad, och utifrån detta använda sig av målgruppsanpassade utbildningsinsatser. Även C förklarar att banken har utbildningar som är utformade efter vilken roll man har. E spinner vidare på detta resonemang och menar att det är viktigt att ha en förståelse för att människor lär sig kunskap på olika sätt. En del föredrar att arbeta i grupp medan andra snarare vill arbeta självständigt och därför behöver man utforma utbildningar i olika former. Detta kan göras genom att lägga in realistiska case i utbildningarna och se till så att utbildningarna är anpassade för den roll man har (Person E).

F berättar att regelverk tvingar banker att följa upp på individnivå, trots att lärandet oftast behöver göras i grupp. De har därför valt att göra utbildningen individanpassad för att sedan ge ut diskussionsmaterial där chefer tillsammans med sitt team diskuterar ämnet och dess frågor (Person F). A anser att chefer har ett stort ansvar, då A inte kan veta alla medarbetares individuella kompetens. Därför menar A att man måste förlita sig på att processen fungerar. För att chefer i sin tur ska kunna förmedla vikten av cybersäkerhet till sitt team förklarar A att chefer har en annan typ av utbildning än andra roller. För B som inte kan träffa alla anställda varje dag är det svårt att veta om alla har rätt kompetens, därför behöver ansvaret distribueras nedåt till organisationens enheter. Som en stor organisation litar de väldigt mycket på att man ser vad folk har för kompetensnivå på varje avdelning och menar att det är svårt att nå ut till hela koncernen och att de därför har ambassadörer runt om i organisationen. Dessutom försöker både B och andra anställda inom IT besöka olika kontor för att förmedla information om säkerhet (Person B).

“Vi kommer ju aldrig vara klara med det här, det är en ständig resa. [...] Vi måste få in cybersäkerhet i de olika processerna på banken så det inte blir konstigt, för ni som kunder

förutsätter ju att det är säkert på banken.” (Person B).

E påpekar att det är viktigt att hitta realistiska case från verkligheten som passar en finansiell institution, vilket E menar ofta är väl utformade inom banken. Genom att visa hur en person enkelt kan komma in i ens dator kan anställda få en bättre förståelse till hur incidenterna faktiskt går till (Person D). Det kan vara så pass enkelt att man får ett mail där man blir ombedd att klicka på en länk för att delta i en forskningsstudie och klickar man på länken kan till exempel ett program installeras på datorn som tar ens inloggningsuppgifter (ibid). D understryker att det är viktigt att ge konkreta exempel så att anställda får en bra förståelse. Detta är något som även F lyfter fram under intervjun, då personen förklarar att det är viktigt att utbildningen är intresseväckande och att medarbetarna kan applicera informationen till verkligheten. Detta kan göras med hjälp av scenarios, interaktiva övningar och genom konkreta verklighetsförankrade exempel (Person F).

Den bank som E är anställd hos håller för tillfället på att introducera två stycken koncept, dels ett anti-phishing verktyg men också ett verktyg som heter nano-duktioner. Den förstnämnda syftar till att identifiera beteenden hos anställda. E exemplifierar att de kontinuerligt ska skicka ut phishing-test-mail för att se hur anställda reagerar. Om en anställd klickar på den länk som finns i mailet kommer det registreras och personen får då återkoppling och möjlighet till utbildning. Det andra verktyget, nano-duktioner, ger anställda en grundläggande lektion inom informationssäkerhet på två till fem minuter var tredje vecka som avslutas i form av ett litet test efter fyra lektioner. Detta förklaras som ett kontinuerligt verktyg som pågår hela tiden. E menar att fördelen med korta utbildningar är att man lättare kan ta sig tid till att genomföra dem. F påpekar dock att en e-learning, oavsett om utbildningen är kort eller lång, inte är den mest optimala metoden för lärande. F menar att man tar till sig kunskap när man lär ut kunskapen till någon annan. Motiverade medarbetare tar till sig mest kunskap, och har man förståelse för att en viss kunskap behövs för att kunna genomföra ett visst arbete kommer det resultera i högre motivation hos anställda (Person F).

Vidare anser E att det är viktigt att påminna anställda utan att trötta ut dem och därför är nano-lektionerna till stor hjälp eftersom det är svårt att förvänta sig att anställda ska ha tålamod att lyssna och titta på 30–60 minuters långa e-learnings och ta till sig all information (Person E).

“Den stora utmaningen när man ska bygga ett ‘awareness-program’ är ju att nå alla med i stort sett samma budskap hela tiden, utan att trötta ut dem. Och då måste du välja form, ibland är det en artikel, ibland är det e-learning, ibland är det animering.” (Person E). Precis som E antyder anser F att det krävs att utbildningarna har ett innehåll som inte uppfattas som tråkigt och tröttsamt. Medarbetarna genomför otroligt många utbildningar inom olika områden, vilket motsvarar många timmar, för att till exempel få licenser eller behörigheter vilket räknas som tvingande utbildningar (Person F). Här blir det viktigt att se till att utbildningarna enbart tar med den information som anses vara mest väsentlig och nödvändig (ibid).

“Sitter du på ett bankkontor så bryr du dig inte om till exempel modeller, utan det du bryr sig om är - ‘Varför ska jag inte klicka på den här länken? Vad händer då?’”. (Person F).

4.3.1.3 Uppföljning

A berättar att banken har målgruppsanpassade utbildningar som följs upp med hjälp av mätetal för att säkerställa att de anställda får kunskap kring säkerhetsreglerna. Enligt B säkerställer dess arbetsgivare kompetens hos anställda genom att på individnivå utvärdera kompetensnivån tillsammans med chefen. Här menar B att individen har ett stort ansvar att veta vad denne behöver lära sig samtidigt som chefen har ett ansvar att ge feedback. D lyfter fram att det är oerhört viktigt med uppföljning av obligatoriska utbildningar med viss regelbundenhet.

Vidare förklarar D att banken har lagt ned mycket tid på utbildning och berättar att de har skapat ett eget campus på banken med egna certifieringsutbildningar. Här förs det sedan statistik på hur många timmar man lägger ned på utbildningarna (Person D). Något som E berättar är att samtliga utbildningar som banken genomför finns inlagda i en utbildningsplattform där ansvariga personer kan redogöra för vilka medarbetare som har genomfört dem samt det resultat som genererats. Däremot understryker A att banken inte arbetar med bestraffning om en anställd har bristfällig kompetens utan menar att det är viktigt att chefer istället arbetar proaktivt för att stärka cybersäkerheten.

“Jag tror mycket på utbildning. Jag tror att man ska ha en konsultativ roll. IT och informationssäkerhet är ett svårt område, det är lite av ett jobbigt område på det sättet att det är svårt. För min del så handlar det väldigt mycket om att man ska vara ute och

synas och hjälpa verksamheten, och inte jobba med pekpinne!” (Person A).

F väljer att diskutera problematiken kring uppföljning och att det kan vara komplicerat att veta huruvida anställda faktiskt har tagit till sig den kunskap som presenteras. Här menar F att det är ganska tydligt att denne, en person som jobbar med personalfrågor, har en annan syn än personer som arbetar direkt mot cybersäkerhet i banken. F förklarar detta med att personer som direkt arbetar med säkerhetsfrågor gärna vill testa och mäta allting, och att man gärna vill se 100% av anställda gör e-learnings tester, då detta gör att de känner sig trygga. F menar att det dock finns en annan aspekt:

“Bara för att man får 100% så säger ju det egentligen ingenting om vad vi egentligen har lärt oss.” (Person F)

4.3.2 Kultur

Vad gäller integrerandet av cybersäkerhet i den organisatoriska kulturen berättar A att det är en svår fråga att svara på. Med bred erfarenhet inom bank och finans menar A att verksamheten är så pass regelstyrd att säkerhetstänket automatiskt finns inbäddad i företagskulturen. Detta bekräftas av B som lyfter fram att banker följer lagen om banksekretess, en lag som samtliga anställda måste följa och skriva under. Därför finns en hög nivå på säkerhetstänket bland de anställda och A anser därför inte att man inom banken behöver tjata om informationssäkerhet eller IT-säkerhet, på samma sätt som man förmodligen behöver göra i många andra branscher.

Att göra säkerhet till en del av det dagliga arbetet är något som även B, C, D och E menar är viktigt, då B menar att en stor del av lärandet sker i vardagen. Därför menar E att evenemang såsom säkerhetsmånaden, vilket många företag anammar, kan bli problematisk. E menar nämligen att det väsentliga är att awareness och utbildning sker kontinuerligt och att man därför inte bör koncentrera det till en månad. Dessutom menar E att det finns en risk att personer som är särskilt entusiastiska över sådana arrangemang kan glömma bort allvaret med cybersäkerhet. E understryker att cybersäkerhet är en allvarlig metod för att skydda banken och dess kunder. Trots E’s kritiska resonemang så berättar B att dess bank bland annat använder sig av just säkerhetsmånaden för att utbilda sina anställda, men nämner det snarare som ett komplement till de redan existerande kontinuerliga utbildningarna.

Några av respondenterna väljer att lyfta chefers roll i kulturbygget (Person D; Person F). Sedan D gick in i sin nuvarande roll har dennes egna beteende förändrats. Eftersom D har en viktig roll på banken är det nämligen av stor vikt att kommunicera rätt budskap och D menar därför att det är viktigt att tänka på hur man uttrycker sig för att alltid vara professionell. Vidare berättar D att den bästa kvittensen från arbetet är att se och höra hur organisationen börjar göra och säga det som D har sagt - att veta att medarbetare har lyssnat på en. Här menar D att man talar om ledarskap - att ledare driver förändring. F berättar att chefer absolut kan stärka säkerhetskulturen genom att prata om det och föra en kontinuerlig dialog inom organisationen. Här menar F att samtal framför allt bygger kultur, snarare än att läsa om det. Vad gäller chefens roll i kulturbygge menar F alltså att chefer kan föregå med gott exempel och prata om det, men att beteende hos anställda är svårt att kontrollera.

4.3.2.1 Implementering av kulturella styrmedel

Utöver de obligatoriska regelverken som kan antas forma företagskulturen, så nämner A, C och D att banken arbetar med dokument såsom Code of Conduct för att påverka kulturen. Även B uttrycker att de har manualer motsvarande innehåll av en Code of Conduct, men att dess bank inte använder sig av begreppet Code of Conduct. A menar att detta styrdokument främst används för att förmedla vikten av cybersäkerhet till anställda. C berättar att deras

Code of Conduct är väldigt bred och att de inte har ett enskilt dokument för cybersäkerhet, utan att cybersäkerhet är en del av ett större dokument. Likt C, resonerar F att banken inte nödvändigtvis bör skriva in cybersäkerhet i bankens grundfundament, ett manifest som organisationens kultur bygger på, och som alla medarbetare arbetar utifrån. F berättar att cybersäkerhet snarare ska appliceras i det dagliga arbetet än skrivas in i ett styrdokument.

B berättar att dess bank är tydlig med att tidigt informera anställda om organisationens mål och värderingar. F spinner vidare på detta och anser att det är viktigt att föra en dialog om säkerhetsarbetet. Här har chefer ett stort ansvar att förmedla vilken kultur som ska finnas på kontoret. Eftersom medarbetare ofta arbetar självständigt med sina datorer blir cybersäkerhet en individuell fråga. Därför är det viktigt att säkerhetstänket florerar genom olika kanaler som i sin tur påverkar kulturen. Detta kan till exempel vara via artiklar, chefer eller dagliga dialoger mellan medarbetare (Person F). Detta är något som även E resonerar kring då E menar att dess bank inte aktivt arbetar med att bygga en starkare säkerhetskultur, E menar att kulturen blir ett indirekt resultat av de awareness-program och utbildningar som finns i organisationen. Verksamheten bygger sin egen kultur och på sikt kan man forma kulturen så att den fokuserar mer på cybersäkerhet, men det tar tid (Person E). E förklarar vidare svårigheterna med att implementera en stark kultur inom bank överlag:

“Jag tror att de flesta bankerna har en ganska låg profil och populära blir vi aldrig - vi kan inte bli Ebay, Apple eller Google. Vi kommer alltid vara de tråkiga konservativa bankerna som kommer ha våra utmaningar. Och att då slå sig för trumman för en stark

kultur á la Microsoft eller Apple - det blir nog svårt.” (Person E)

C lyfter ett annat perspektiv på kultur, och menar att det finns många som arbetat länge i banken och har gedigen kunskap inom sitt respektive område, men att en del inte är uppdaterade inom det tekniska. Detta gör att det kan finnas ett motstånd att interagera cybersäkerhet som en del av kulturen vilket leder till att det blir en lång startsträcka för de som inte har varit vana att arbeta på det sättet.

“Vi har faktiskt några medarbetare som fanns med på den tiden då det inte ens fanns datorer, utan man hade papper och penna och post. Och det är klart att alla är inte så uppdaterade tekniskt. [...] . Och då är det ett motstånd med att komma igång.” (Person C) Ett tydligt exempel som C lyfter är övergången från fysiska till digitala möten, men menar att det har gått förvånansvärt bra att implementera. Här menar D att det är viktigt att öka förståelsen hos anställda och menar att presentationer som tydligt visar hur hotlandskapet ser ut för tillfället, samt hur banken ska jobba för att motverka det, kan göra just detta.

4.3.2.2 Tillit

Många av respondenterna nämner även vikten av att anställda måste kunna ta eget ansvar, och trycker på att det måste finnas tillit för varandra inom organisationen (Person B; Person C; Person E; Person F). Särskilt pratar E mycket om tillit, och menar att eget ansvar förmodligen kan bygga en starkare säkerhetskultur eftersom det visar på en tillit till varandra. Även F menar att tillit är ett viktigt redskap och menar att anställda kan växa genom att få ta eget ansvar, något även A påpekar är en positiv konsekvens av eget ansvar. Det resonemanget som F för skulle även kunna tolkas ha en koppling till regelefterlevnad, då F förklarar:

“Du tar mindre ansvar om du känner att du inte får det. Känner man att ‘min chef kommer ändå kontrollera mig för att man litar inte på mig’ då tar man inte samma ansvar som om någon annan säger ‘jag litar på dig, gör allt klart, sen kan du komma när

du har en fråga’ ” (Person F)

B understryker dock vikten av att ge frihet inom rimliga gränser. Risken som annars kan uppstå är att anställda tar större ansvar än de har befogenhet eller kompetens nog att göra (Person A; Person B). B menar dock att just syftet med att ge ansvar inom rimliga gränser är att man inte kan göra hur mycket som helst. E berättar också att det måste finnas en förståelse för att kontroller är nödvändiga, men att anställdas förmåga att ta eget ansvar är det nya sättet att arbeta på. Vidare menar C att det behöver vara lätt att göra rätt. Vikten av att förstå ens mandat och skyldigheter uttrycker många respondenter är en viktig förutsättning för att låta anställda ta eget ansvar, och att ha enkla regler samt utbilda anställda lyfter många som en viktig del för att säkerställa detta (Person A; Person B; Person F). Därför använder sig alla bankerna av intranät för att informera anställda.

F anser att det är viktigt med en tillit till anställda och att det ska vara en lärande och tillåtande kultur där varje individ får ta eget ansvar, samtidigt som det finns utrymme att be om hjälp. Vidare belyser F chefens roll i att skapa tillit och menar att det chefen

tillsammans med den existerande kulturen som bygger tillit. F utvecklar detta med att förklara att chefen behöver visa att denne litar på den anställde, samtidigt som chefen behöver förklara vilka saker som den anställde har att förhålla sig till och behöver kunna. Även D menar att chefen har en viktig roll att informera och involvera sina medarbetare istället för att hänvisa till ett intranät. E bekräftar detta, och menar att man inom banken i stor utsträckning arbetar självständigt, men att det är viktigt att kunna ha en nära dialog med sina chefer och lyfter fram att det finns fler kanaler man kan få råd igenom. Om man hamnar i ett dilemma finns det alltid möjlighet att ta kontakt med någon på olika

5.Analys

I detta kapitel kommer vi med hjälp av studiens teoretiska referensram analysera den empiri som har samlats in, för att komma fram till hur banker arbetar med formella och informella styrmedel för att förebygga interna cyberhot. Detta anknyter till problemformuleringen och relateras till definitioner av cybersäkerhet. Analysen följer inte samma struktur som föregående kapitel, utan struktureras i samma ordning som studiens forskningsfrågor för att besvara dem och skapa en tydlig anknytning till studiens syfte.

In document Cybersäkerhet - Att stärka den svaga länken : En flerfallsstudie om hur formella och informella styrmedel förebygger interna cyberhot i banksektorn (Page 59-67)