I følge NIS2-direktivet er organisasjoner i samfunnskritiske og viktige sektorer pålagt å gjennomføre regelmessig opplæring i cybersikkerhet. Imidlertid er det en reell risiko for at denne opplæringen kun blir en «kryss av på lista-aktivitet» - altså en enkeltstående hendelse og ikke en kontinuerlig prosess som er nødvendig for å skape den kulturendring og robuste cyberresiliens som NIS2-direktivet sikter mot.
Jeg tror vi som sikkerhetseksperter må presentere dette i tre trinn:
For det første må vi få ledelsen til å se på læring som en kontinuerlig prosess og ikke som en enkelthendelse. Vi må bruke metoder som får alle til å huske det de lærer.
For det andre trenger vi metoder som gjør at vi vinner kalenderkrigen. Fulle kalendere er et gjennomgående problem for alle ansatte i alle typer virksomheter, offentlige så vel som private. Ikke minst gjelder dette bedriftsledelsen. For å si det enkelt: Vi trenger et kurs for de som ikke har tid til å gå på kurs.
For det tredje må opplæringen ha et innhold som gjør at ledelse og styre fokuserer på de rette tingene. Det er viktig at opplæringen bygger en forståelse på riktig strategisk og operativt nivå. Ledere har et særlig ansvar for å gå foran som gode eksempler i arbeidet med å bygge en god informasjonssikkerhetskultur.
For at ledelsen skal kunne ta ansvar for virksomhetens cybersikkerhet, må de forstå modenhetsnivået til organisasjonen samt hvilke sikkerhetsrisikoer som finnes. Ledelsen må også kunne fordele klare roller og ansvar. Videre trenger de kunnskap om hvordan de kan jobbe med et ledelsessystem for cybersikkerhet, og hvordan de kan utføre risikovurderinger. De trenger også kunnskap om outsourcing og risikostyring av tredjeparter. En ledelse må også ha kontroll på regeloverholdelse, hendelsesrespons, kontinuitet og planlegging av cybersikkerhet fremover. Alt dette bidrar til å bygge tillit til virksomheten.
Og sist, men ikke minst: Ledelsen må nesten alltid bli bedre til å kommunisere viktigheten av sikkerhet.
Junglemaps kurs Digital sikkerhet for styre og ledelse oppfyller alle disse nødvendige trinnene: Kurset er basert på læring som en prosess der leksjonsmodulene sendes ut over tid og i et 3-minutters leksjonsformat som gjør det enkelt å gjennomføre leksjonene i en hektisk hverdag. Innholdet i kurset gir ledere den kompetansen som NIS2-direktivet krever.
Med opplæring av den typen vi i Junglemap tilbyr, er jeg sikker på at nasjonal sikkerhetsmåned kan danne startskuddet for et større engasjement fra ledelse og styrer rundt cybersikkerhet.
Geir Aasen
CISO Junglemap