Säkerhet

Säkert distansarbete – Hur då?

Många personer i dagens verksamheter uppskattar och värdesätter flexibilitet i var och när de arbetar. Den traditionella arbetsplatsen där man vistas på ett kontor under bestämda timmar har minskat i betydelse. Denna utveckling har varit på gång i många år och möjliggjorts till stor del av nya IT-verktyg, men också ett ändrat ledarskap som betonar individens eget ansvar att fullgöra sina arbetsuppgifter.

Från organisationens perspektiv ställs samma krav på säkerhet vid distansarbete som när man utför motsvarande uppgifter i verksamhetens lokaler.
Den utveckling som många organisationer såg redan tidigare med ett allt större antal medarbetare som arbetar hemma har accelererat kraftigt under Covid-19 pandemin, då personalen som ett led i att skydda dem från viruset, uppmanats att distansarbeta när så är möjligt. Organisationernas förmåga som helhet ställdes på prov för att hantera de nya förutsättningarna, och att göra distansarbetet tillräckligt säkert var en av dem.  

I denna artikel är avsikten att belysa orsaker till att säkerheten utmanas vid distansarbete och ge förslag på åtgärder för att hantera dem.

Utmaningar

Snabba förändringar är utmanade att hantera för de allra flesta organisationer, men hanteras måste de för att inte öka riskerna för organisationens framgång och fortsatta existens. Förändringarna gäller i hög grad säkerhetsområdet som måste stödja verksamhetens nödvändiga anpassning. Givet dessa förutsättningar uppkommer åtminstone tre olika frågor:

  • Hur klargörs att det finns en tillräcklig medvetenhet och kunskap om säkerhet hos medarbetarna?
  • Hur behöver organisationen och processer anpassas för att fungera i en miljö där distansarbete är normen?
  • Hur kan använda IT-verktyg uppfylla organisationens och medarbetarnas behov?

I kommande stycken kommer var och en av dessa tre utmaningar att beskrivas mer i detalj. Även ett antal åtgärder för att hantera utmaningarna kommer diskuteras.

1. Hur klargörs att det finns en tillräcklig medvetenhet och kunskap om säkerhet hos medarbetarna?

Att medvetandegöra behovet av säkerhet för medarbetarna och säkerställa att de har tillräcklig kunskap utifrån värdet på den information som de hanterar är i normala fall en svår uppgift. I bästa fall har verksamheten sina policys uppdaterade. Tillsammans med riktlinjer och instruktioner utgör dessa utbildningsmaterial som relativt snabbt kan lyfta nivån på kunskap och medvetenhet för majoriteten av medarbetarna. Men så är sällan fallet.

När Covid-19 pandemin slog till med full kraft gick det snabbt att ta beslut om att medarbetare i den mån det var möjligt skulle arbeta hemifrån. Denna snabba omställning i arbetssätt utmanade säkerhetsarbetet i organisationer. Alla förutsättningarna för att i praktiken övergå till ett storskaligt och säkert distansarbete hann oftast inte med, men då det inte fanns något alternativ fick man under en tid acceptera brister. På längre sikt måste dock dessa rättas till.

Detta förutsätter att organisationen har bestämt vad som ska gälla inom verksamheten så att det finns ett konkret budskap att förmedla. Det finns tre huvudsakliga komponenter att beakta:

  • vad som ska gälla säkerhetsmässigt inom organisationen,
  • hur denna målsättning och stöddokument kommuniceras,
  • hur det praktiskt kan ske uppföljning av efterlevnad.

Att ha en strategi och en plan är en förutsättning för ett gott genomförande.

2. Hur behöver organisationen och processer anpassas för att fungera i en miljö där distansarbete är normen?

När medarbetare endast i undantagsfall vistas på kontoret tappas den naturliga kommunikation som sker genom att ses fysisk på arbetsplatsen. Detta försvårar upprätthållandet av verksamhetens säkerhetskultur när man i högre grad själv kan behöva finna lösningar i vardagen.

Alla kan göra misstag i sitt arbete. I en undersökning från företaget Tessian visar dem att över två femtedelar av de anställda säger att de har gjort misstag på jobbet som har påverkat cybersäkerheten på arbetsplatsen. Detta i kombination med den ökade andelen distansarbete gör att företagen behöver hitta bättre sätt att stoppa misstag innan de äventyrar säkerheten.

Samtidigt som 47% av de tillfrågade anställda i Tessians undersökning svarar att distraktion är en av de främsta anledningarna till att de faller för de allt vanligare phishing-bedrägerierna. På samma gång erkänner också över hälften av arbetstagarna (57%) att de är mer distraherade nu när de arbetar hemifrån. Det plötsliga skiftet till allt mer fjärrarbete kan alltså göra företag sårbara för ännu fler risker orsakade av mänskliga fel än vad man tidigare har varit.

Fortsättningsvis visar Tessians undersökning att 93% av de anställda som besvarat frågorna har känt sig stressade och trötta på jobbet. Covid-19-pandemin har utsatt människor för stor mängd stress och förändring på arbetsplatsen och har också ökat behovet av bra ledning.

Detta för att underlätta för de anställda inom ramen för deras roller. Att 52% också svarade att de gör fler misstag på jobbet när de är stressade och 43% begick fler misstag när de var trötta ökar också riskerna för säkerhetsincidenter i en redan pressad organisation.

Ledningens roll i säkerhetsarbetet är därför av ännu större vikt idag än tidigare. Att chefer visar förtroende för sina medarbetare är något som vanligtvis uppskattas i organisationen, dock kan det inte ersätta behovet av uppföljning i denna fråga. Sker inte denna kontakt minskas möjligheter till den återkoppling som är grundläggande för att göra rätt.

Även som nyanställd uppkommer svårigheter. Helt naturligt finns inte samma möjligheter som när alla anställda fysiskt träffas att bygga upp relationer och hitta svar på de frågor man har. Att se till att mentorer finns tillgängliga och att anpassa arbetet ifråga om volym och uppgift är ett sätt att lotsa in dem i ett distansarbete som följer kraven på säkerhet.

Textruta: ” People learn best when they get fast feedback and when that feedback is in context.”
- Jeff Hancock, Stanford University
”People learn best when get fast feedback and when that feedback is in context”
-Jeff Handcock, Standford University

3. Hur kan använda IT-verktyg uppfylla organisationens och medarbetarnas behov?

Ett alltför vanligt sätt att ofrivilligt minska sin säkerhet, är genom att tappa kontrollen över vilka IT-verktyg och tjänster som används av medarbetarna. Det kan ske genom att t.ex. tillhandahållna verktyg kan saknas för uppgifter som måste utföras. Det kan även handla om att medarbetarna kan uppleva att verktygen är osmidiga och gör det svårt att arbeta.

En annan variant är att man som medarbetare helt enkelt inte känner till vilka IT-verktyg som finns tillgängliga. IT- verktyg bör genomlysas på ett strukturerat vis utifrån dess ändamål innan det ”godkänns”. Med fördel används en metod som kan användas systematiskt. 

Uppgiften blir därmed att dels vara tydlig med vilka IT- verktyg som är godkända. Samt, om de existerande verktygen är otillräckliga, komplettera dessa utifrån behovsbilden. I annat fall hamnar man lätt i ett läge där skugg-IT används i företagets processer och med de risker för informationstillgångarna som det medför.

Fem tips för informationssäkert distansarbete

  • Skapa en strategi och en plan för ett säkert distansarbete.
  • Informera och utbilda medarbetare om säkra arbetssätt och IT-verktyg så att de har en tillräcklig grundkunskap för att känna förtroende för sin förmåga inom informationssäkerhet.
  • Tillhandahåll instruktioner gällande hur verksamheten ser att medarbetare ska tänka och agera i vardags relaterade situationer.
  • Utför regelbunden uppföljning för att fånga upp och hantera risker.

Har er organisation utmaningar kring säkert distansarbete – Kontakta oss så hjälper vi er!

Publicerat den 13 november 2020
Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.