Medlemslivet i NITO
Scenebilde fra et foredrag med Kim Svarem fra NSM
Medlemslivet i NITO Sikkerhet og beredskap

En fornøyd ansatt er en lavere sikkerhetsrisiko

Det ble hovedbudskapet under frokostmøtet om sikkerhet og innsiderisiko «Det er du som er innsideren!» arrangert av AFRY og NITO.

For selv om verdiene våre er digital informasjon, og mange angrepsflater foregår digitalt, så utgjør fortsatt mennesker av kjøtt og blod en innsiderisiko. Medmenneskelighet og gode relasjoner kan redusere denne risikoen, ganske enkelt fordi det er vanskeligere å påvirke noen som har et godt forhold til arbeidsgiver og kollegaer.

Kim Svarem, enhetsleder i NSM

Sagt med andre ord, fra Kim Svarem (bildet), enhetsleder i NSM:

– Er du misfornøyd i jobben fordi arbeidsgiver ikke ser deg, ikke utnytter potensialet ditt, eller ikke tar vare på deg, så er det garantert noen som vil lytte til deg.

«En innsider forstås som en nåværende eller tidligere ansatt, konsulent eller kontraktør som har eller har hatt legitim tilgang til virksomhetens systemer, prosedyrer, objekter og informasjon, og som misbruker denne kunnskapen og tilgangen for å utføre handlinger som påfører virksomheten skade eller tap.»

Fra NSMs temarapport om innsiderisiko.

Det kan være meg, det kan være deg. Bevisst og ubevisst.

Bevisste innsidere:

  • Selvmotivert
  • Infiltratøren
  • Rekruttert

Ubevisste innsidere:

  • Uten intensjon
  • Forledet

Hold innsidere på utsiden

Det finnes heldigvis konkrete tiltak for å forebygge insiderhendelser.

Finn Børre Hilen, sikkerhetsrådgiver i AFRY

Her er hvordan Finn Børre Holen (bildet), sikkerhetsrådgiver i AFRY, holder innsidere på utsiden:

  1. Rekruttering

    Skriv i stillingsannonse «vil bli sikkerhetsvurdert, tilknytningsvurdering vil gjennomføres».

  2. Under rekruttering

    Identifikasjon, bakgrunnssjekk, tilknytningsvurdering.

  3. En del av onboarding

    Taushetserklæring, tilgangsstyring, opplæring.

  4. Daglig sikkerhetsledelse

    Sårbarhetsbarometer, e-læring, «god ledelse», arbeidsmiljø. Klassifisering av informasjon, tilgangsstyring.

  5. Ved avslutning av arbeidsforhold

    Rutiner for ryddig avslutning, sletting av tilganger.

– En taushetserklæring er mer enn å bare signere et stykke papir, man må sørge for at den ansatte forstår hva dette innebærer, og hvilken risiko deling av informasjon kan utgjøre, forklarer Holen.

«Insider threats cannot be prevented and detected with technology alone.» - The Cert guide to Insider Threats.

Del på Facebook LinkedIn Instagram