En studie av en digital sikkerhetskultur i en organisasjon

Abstract

Denne masteroppgaven handler om digital sikkerhet innenfor bank – og forsikringsbransjen. Problemstillingen handler om å belyse de viktigste utfordringene når det kommer til digital sikkerhetskultur i en organisasjon. Gjennom relevante dokumenter og åtte kvalitative intervjuer har jeg forsøkt å se nærmere på hvordan medarbeidere og ledere forholder seg til digital sikkerhet i det daglige. For å besvare denne problemstillingen ser jeg nærmere på 1) hva ledere gjør for å bygge opp en digital sikkerhetskultur, 2) hvilke rutiner som er etablert for å vedlikeholde digital sikkerhet og 3) hvordan de ansatte forstår trusler og farer ved bruk av teknologi. I denne sammenhengen diskuterer jeg åtte dimensjoner som skal sikre digital sikkerhet i en organisasjon; fellesskap, styring og kontroll, tillit, risikoforståelse, vilje til digitalisering, kompetanse, interesse og atferdsmønstre. Disse bidrar på hver sin måte til å belyse problemstillingen.

Det kommer frem at det ofte er usikkerhet rundt hvem som faktisk har ansvaret for sikkerhet, og at de aller fleste automatisk har tillit til at «de som jobber med sikkerhet» tar seg av arbeidet rundt dette. Digitaliseringen er både avhengig av, og sårbar for tillit, og det kan virke som tillit er sentralt når det kommer til informantenes forståelse av digitale sikkerhet. Sammenhengen mellom tillit og ansvarsfraskrivelse blir diskutert og en delkonklusjon er at den digitale sikkerheten er alles ansvar, også de som ikke jobber med sikkerhet i det daglige.

Videre kommer det frem at menneskene i organisasjonen ofte er den sårbarheten som trusselaktørene velger å utnytte. I denne diskusjonen kommer det frem at kompetanse innenfor teknologi og digital sikkerhet, gjerne via kursing og andre godt etablerte rutiner, bidrar til økt digital sikkerhet fordi menneskene i organisasjonen får mer kompetanse. Den enkelte medarbeiders risikoforståelse og tankegang rundt sikkerhet kan derfor bidra til å unngå eventuelle hendelser. I denne sammenhengen blir fellesskap og en kultur som setter sikkerhet høyt på agendaen viktig.

Nøkkelutfordringen knyttet til digital sikkerhetskultur handler om at teknologien og cyberspace er mer komplisert og farligere enn vi noen gang kan forstå.

This master's thesis is about digital safety in the banking and insurance industry. The issue is about highlighting the most important challenges when it comes to digital safety culture in an organization. Through relevant documents and eight qualitative interviews, I take a closer look at how employees and managers relate to digital safety on a daily basis.

To answer this question, I take a closer look at 1) what managers do to build a digital safety culture, 2) what routines have been established to maintain digital safety and 3) how employees understand threats and dangers when using technology. In this context, I discuss eight dimensions that will ensure digital safety in an organization; community, management and control, trust, risk understanding, willingness to digitize, competence, interest and behavior patterns. These each in their own way help to shed light on the problem.

It turns out that there is often uncertainty about who is actually responsible for safety, and that the vast majority automatically have confidence that "those who work with safety" take care of the work around this. Digitization is both dependent on and vulnerable to trust, and it may seem that trust is central when it comes to informants' understanding of digital safety. The connection between trust and disclaimer is discussed and a partial conclusion is that digital safety is everyone's responsibility, even those who do not work with safety on a daily basis.

Furthermore, it emerges that the people in the organization are often the vulnerability that the threat actors choose to exploit. In this discussion, it emerges that competence in technology and digital safety, preferably through courses and other well-established routines, contributes to increased digital safety because the people in the organization gain more competence. The individual employee's understanding of risk and thinking about safety can therefore help to avoid any incidents. In this context, common thinking and a culture that puts safety high on the agenda becomes important.

The key challenge associated with digital safety culture is that technology and cyberspace are more complicated and dangerous than we can ever comprehend.