Säkerhet

Säkert distansarbete – Hur då?

Efter två år av pandemi har mycket äntligen återgått till det normala. Så gott som alla restriktioner har idag avvecklats, men trots detta finns det vissa förändringar som består. Att tvingas till nya arbetssätt under denna period har fått många arbetsplatser att se möjligheterna i digitala arbetsmetoder, och fortsätter i den utvecklingen även efter pandemin. Men samtidigt som arbetssättet har förändrats, har kraven på säkerhet ökat.

Antalet medarbetare som arbetat hemifrån under pandemin var som störst under det första kvartalet av 2021, då hela 42 % av arbetande svenskar i någon mån arbetade hemifrån, enligt SCB. Detta ställde organisationer på prov inför de nya förutsättningarna, inte minst utifrån ett informationssäkerhetsperspektiv. För många organisationer kvarstår denna problematik även nu efter pandemin.

Trots att de allra flesta som arbetat på distans troligtvis saknat det sociala i att få träffa sina kollegor varje dag, är det samtidigt många som uppskattat den frihet som utökad möjlighet till distansarbete innebär. Organisationer som under pandemin utökat medarbetarnas möjlighet till distansarbete har, om man hårdrar det, två huvudsakliga val när det gäller det fortsatta arbetssättet. Antingen tvingar man mer eller mindre tillbaka sina medarbetare till kontoret, eller så låter man medarbetarna själva bestämma om de vill jobba hemifrån eller om de vill komma in till kontoret. Finns inga tydliga fördelar med det förstnämnda alternativet är det helt klart fördelaktigt att behålla det flexibla arbetssättet som möjlighet till distansarbete innebär.

Utmaningar

Även efter pandemin fortsätter många att arbeta på distans, vilket gör säkerhetsfrågan för distansarbete fortsatt relevant. Detta inte minst i kombination med en generellt sett ökad hotbild och en ökad risk för cyberattacker. De huvudsakliga utmaningarna som uppstår i och med detta kan sammanfattas i följande tre frågeställningar:

  • Hur säkerställs det att det finns en tillräcklig medvetenhet och kunskap om säkerhet hos medarbetarna?
  • Hur behöver organisationen och processer anpassas för att fungera i en miljö där distansarbete är normen?
  • Hur kan IT-verktyg användas för att uppfylla organisationens och medarbetarnas behov?

I kommande stycken kommer var och en av dessa tre utmaningar att beskrivas mer i detalj. Även ett antal åtgärder för att hantera utmaningarna kommer diskuteras.

1. Hur säkerställs det att det finns tillräcklig medvetenhet och kunskap om säkerhet hos medarbetarna?

Att belysa behovet av säkerhet och informera medarbetare om värdet på den information de hanterar kan vara en svår uppgift. Verksamhetens policys i kombination med riktlinjer och instruktioner utgör ett utbildningsmaterial som relativt snabbt kan lyfta nivån på kunskap inom området, men så är sällan fallet.

När pandemin slog till tvingades många verksamheter att ta snabba beslut om huruvida man skulle lägga om till distansarbete. I det rådande läget hann man ofta inte med de åtgärder som krävs för att göra denna omstrukturering på ett säkert sätt. Nu när omständigheter börjar återgå till det normala är det alltså viktigt att se över situationen och göra om och göra rätt om man, som många, planerar att fortsätta med distansarbete i någon mån.

Detta förutsätter att organisationen har bestämt vad som ska gälla inom verksamheten så att det finns ett konkret budskap att förmedla. Det finns tre huvudsakliga komponenter att beakta:

  • vad som ska gälla säkerhetsmässigt inom organisationen,
  • hur denna målsättning och stöddokument kommuniceras,
  • hur det praktiskt kan ske uppföljning av efterlevnad.

2. Hur behöver organisationer och processer anpassas för att fungera i en miljö där distansarbete är normen?

När medarbetare inte vistas på kontoret lika ofta försvinner den naturliga kommunikationen som uppstår vid fysiska interaktioner. Att de i högre grad arbetar självständigt och därmed behöver ta egna beslut om lösningar i vardagen kan försvåra upprätthållandet av verksamhetens säkerhetskultur.

Alla kan göra misstag i sitt arbete. I en undersökning från molnsäkerhetsplattformen Tessian framkommer att IT-branschen är den femte mest drabbade branschen av phishing-attacker. 80% av säkerhetsexperter sa att de stött på ett ökat antal säkerhetshot än innan distansarbetet ökade. Medarbetare trodde att IT-avdelningar hade kunnat motarbeta dessa hot om de istället arbetat på plats. Detta i kombination med den ökade andelen distansarbete gör att företagen behöver hitta bättre sätt att stoppa misstag innan de äventyrar säkerheten.

Även som nyanställd uppkommer svårigheter. Helt naturligt finns inte samma möjligheter att bygga upp relationer och hitta svar på de frågor man har som när alla anställda träffas fysiskt. Att se till att mentorer finns tillgängliga och att anpassa arbetet i fråga om volym och uppgift är ett sätt att lotsa in dem i ett distansarbete som följer kraven på säkerhet.

En lärdom som kan dras från detta är att ledningens roll i säkerhetsarbetet är av ännu större vikt idag än tidigare. Att chefer visar förtroende för sina medarbetare är något som vanligtvis uppskattas i organisationen, det kan dock inte ersätta behovet av uppföljning i denna fråga. Om denna kontakt inte sker, minskas möjligheter till den återkoppling som är grundläggande för att göra rätt.

3. Hur kan IT-verktyg användas för att uppfylla organisationens och medarbetarnas behov?

I Tessians undersökning hade företag där medarbetare tillåts arbeta från sina egna datorer 83% högre säkerhetsrisk än där man arbetade från företagets enheter. Att tappa kontrollen över vilka IT- verktyg och tjänster som medarbetare använder sig av är ett allt för vanligt sätt att ofrivilligt riskera sin säkerhet. Exempel på när detta kan ske är när verktyg för uppgifter som måste utföras saknas. Det kan även handla om att medarbetarna kan uppleva att verktygen är osmidiga och gör det svårt att arbeta, och därför använder andra lösningar.

Ett annat scenario är att man som medarbetare helt enkelt inte känner till vilka IT-verktyg som finns tillgängliga och ska användas. IT- verktyg bör genomlysas på ett strukturerat vis utifrån dess ändamål innan det ”godkänns”. Med fördel utnyttjas en metod som kan användas systematiskt.

Uppgiften blir därmed att dels vara tydlig med vilka IT-verktyg som är godkända. Samt, om de existerande verktygen är otillräckliga, komplettera dessa utifrån behovsbilden. I annat fall hamnar man lätt i ett läge där skugg-IT används i företagets processer, och med det medföljer risker för informationstillgångarna.

Fyra tips för informationssäkert distansarbete

Sammanfattningsvis leder ovan diskussion fram till dessa fyra tips som kan vara användbara för att uppnå ett informationssäkert distansarbete:

  • Skapa en strategi och en plan för ett säkert distansarbete.
  • Informera och utbilda medarbetare om säkra arbetssätt och IT-verktyg så att de har en tillräcklig grundkunskap för att känna förtroende för sin förmåga inom informationssäkerhet.
  • Tillhandahåll instruktioner gällande hur verksamheten ser att medarbetare ska tänka och agera i vardagsrelaterade situationer.
  • Utför regelbunden uppföljning för att fånga upp och hantera risker.

Har er organisation utmaningar kring säkert distansarbete – Kontakta oss så hjälper vi er!

Publicerat den 13 juni 2022
Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.