• Home
  • Blog
  • Måling av sikkerhet på Improvement Kata-måten

Måling av sikkerhet på Improvement Kata-måten

We care a lot about our clients' privacy. That's why we put a lot of time and effort into improving our process. Measuring is one aspect of a good process. Let's dive into how we measure security! 

Publisert den
10. nov 2022
Lesetid
9 Minutter
Skrevet av
Andor - Sikkerhets- og personvernansvarlig
Innholdsfortegnelse

Vi har brukt forbedringskataer for å forbedre prosessene våre. Vi har skrevet en utdypende bloggom dette, men essensen er at du forbedrer en prosess ved å gjøre små, fokuserte endringer og måle om du har kommet nærmere målet ditt. Måling er essensielt i denne prosessen; hvis du ikke måler, vet du ikke om det er noe du kan forbedre, eller om endringene dine var effektive. Heldigvis er det relativt enkelt å finne ut hva man skal måle... som regel.

Hvorfor sikkerhet?

La oss skifte fokus til sikkerhet. Sikkerhet er viktig. Det vet vi alle. Vi vil ikke at navnet og adressen din skal deles på Internett, og vi vil ikke at du skal miste eksamensresultatene dine. Mer sikkerhet er bedre. Men mer sikkerhet er ikke nødvendigvis sikrere. Hvis vi satte en alarm på alt som kan gå galt, og overvåket hver eneste bevegelse på systemene våre, ville vi druknet i distraherende varsler. Vi ville ikke ha tid til å jobbe med noe annet. Så vi må velge hva vi skal gjøre. Vi må måle sikkerheten hvis vi ønsker å forbedre sikkerhetsprosessene våre. Men hvordan måler man sikkerhet?

Måter å måle sikkerhet på

Sikkerhet er ikke helt enkelt å måle, spesielt ikke innenfor en kort tidsramme. For noen prosesser kan du måle tiden det tar for en bruker å utføre en bestemt oppgave på en nettside, eller du kan telle opp antall spørsmål om et bestemt emne. Deretter kan du gjøre endringer og måle igjen for å se hvordan tallene har endret seg. Men når det gjelder sikkerhetsprosesser, er det rett og slett ikke nok flyt gjennom prosessen. Vi kan for eksempel ikke få meningsfulle målinger ut fra antall datainnbrudd. Vi kan ikke forbedre oss fra 0, og det at vi ikke har noen datainnbrudd, betyr ikke at det ikke er noen mulighet for datainnbrudd, noe som er noe av det vi er interessert i. Så vi må tenke på andre måter.

Telling av sikkerhetsproblemer

Det finnes ikke noe digitalt system uten sikkerhetsproblemer. Spesielt ikke et system som er i stadig endring. Når slike problemer oppdages, bør de rapporteres. Det kan dreie seg om alt fra tilgjengelige data der de ikke burde være, til noen som har mistet nøkkelen til kontoret. En måte å måle på er å telle disse sikkerhetsproblemene.

Denne målingen kan være svært nyttig, men den kan også være svært villedende. Færre problemer betyr ikke nødvendigvis færre problemer, bare at du kan finne færre. Det er som skattejakt; hvis du ikke graver i sanden, finner du ikke noe interessant, men du kan ikke si at det ikke finnes noen skatt. På en måte betyr det å øke antallet sikkerhetsrapporter at vi får en bedre oversikt over sikkerhetstilstanden vår. Dette kan være et viktig mål, men det er ikke måten å måle sikkerhet på.

Overholdelse av lover og forskrifter

I stedet for å måle, verdsettes sikkerhet ofte basert på spesifikke standarder. I EU er dette vanligvis GDPR, verdens strengeste sikkerhetslov. Den beskriver regler for hvordan ulike typer data skal håndteres. Dette gir et grunnleggende nivå av sikkerhet og ansvarlighet, spesielt når det gjelder misbruk av data.

Selvsagt er dette viktig. Hvis du har GDPR-problemer, må de løses. Ikke bare av juridiske årsaker, men fordi vi bryr oss om sikkerheten til kundene våre. Vi er GDPR-kompatible og vil forbli kompatible. Men det er også en grunnlinje, og etter den er det fortsatt mye fleksibilitet og mulighet for sikkerhetsproblemer.

Risikovurderinger

For en stund siden begynte vi å se nærmere på ISO 27001-standarden. Standarden beskriver en måte å arbeide med et styringssystem for informasjonssikkerhet (ISMS) for å overvåke og behandle informasjonssikkerhet. Vi begynte å jobbe med dette ISMS-systemet fordi det ville gi oss et bedre rammeverk for å se hvordan vi ligger an når det gjelder sikkerhet.

Som en del av ISMS begynte vi å gjennomføre risikovurderinger. I et risikovurderingsmøte diskuterer vi en lang liste med mulige sikkerhetsrisikoer med en gruppe ansatte fra ulike avdelinger: en programvareingeniør, teknisk direktør og personvernansvarlig. For hver risiko gir vi en vurdering av sannsynligheten for at den skal inntreffe, og konsekvensene hvis den skulle inntreffe. På denne måten får vi en liste over ulike mulige problemer som må forebygges eller reduseres, sortert etter eksponering, en kombinasjon av sannsynlighet og konsekvens.

Dette kan ligne mye på å telle sikkerhetsproblemer, men det har noen interessante forskjeller:

  1. De har en eksponeringsgrad, noe som hjelper oss med å velge hva vi skal ta tak i for å få størst effekt;

  2. Den neste risikovurderingen har den samme listen over risikoer, noe som betyr at vi kan sammenligne fremdriften i risikoenes eksponering i stedet for antallet av dem.

Security exposer

Dette gjør det mye enklere å foreta målinger fra risikovurderingene. Vi har nå en strukturert måte å se på sikkerheten i Easy LMS på. Vi fyller risikovurderingen med kunnskapen vi får fra rapporter om sikkerhetsproblemer og våre daglige observasjoner, og så forbedrer vi ett trinn om gangen.

Sertifisering

Det er et problem med å måle ut fra risikovurderingen: Den er kanskje ikke helt objektiv. Vi kan bare rapportere det vi ser, og vurdere dem ut fra våre egne erfaringer og tanker om emnet. Dette skaper i utgangspunktet en boble med det vi vet og det vi jobber med, men det viser oss ikke hva som befinner seg utenfor boblen.

Derfor bestemte vi oss for å fortsette med ISO 27001-standarden som helhet, som også beskriver en prosess for sertifisering. En ekstern part vil vurdere oss ut fra hvordan vi implementerer sikkerhetstiltak og ISMS; i bunn og grunn en sjekk for å se om andre er enige i at vi er der vi tror vi er.

Så vi jobber hardt med å gjøre oss klare for denne sertifiseringsprosessen, og vi håper å kunne kalle oss ISO 27001-sertifisert et sted i 2023!

Hvordan vi implementerer sikkerhetstiltak som holder

Nå har vi en prosess for å forbedre sikkerheten vår. Vi har plukket ut de tingene vi trenger å forbedre, og begynt å implementere dem i selskapet vårt. Vi er imidlertid ikke helt i mål ennå. Vi må også sørge for at implementeringen blir vellykket.

Saken er at alle vet at sikkerhet er viktig, men folk liker faktisk ikke å jobbe med det. Det kan fort bli som med skatten; det skal gjøres, men det er et irriterende ork. Hvordan kan vi sørge for at dette ikke blir et problem?

Fjerne hindringer

Den største grunnen til at sikkerhetstiltak ikke fungerer, er at folk jobber rundt dem. Dette problemet ligger hos tiltaket, ikke hos menneskene. Det betyr at det rett og slett er mer praktisk å lage løsninger enn å følge reglene og prosessene. Prosessen har for mange hindringer å overvinne, og det ligger i vår natur å velge den minste motstands vei. Dette kan få katastrofale følger.

Et ekstremt eksempel er Bhopal-katastrofen i 1984, der flere sikkerhetstiltak ble forsømt. En by ble oversvømt av giftig gass, som drepte tusenvis og skadet mer enn en halv million mennesker. Sikkerhetshendelser på Easy LMS vil selvsagt ikke ha slike ekstreme konsekvenser, men det viser hvor lett det er å omgå sikkerhetstiltak, til tross for de mulige konsekvensene.

Det er best å gjøre det så enkelt som mulig å følge sikkerhetsprosedyrene. Mer spesifikt, prøv å gjøre det enklere enn å omgå tiltakene. Det kan være noen ekstra skritt som må tas av sikkerhetshensyn, men ikke for mange. Det bør ikke være ekstra ventetid. Sikkerhetsprosedyrene skal ikke hindre de ansatte i å gjøre jobben sin, men veilede dem i hvordan de kan gjøre det på en sikrere måte.

Sikkerhetsprosedyrer skal ikke hindre de ansatte i å gjøre jobben sin, de skal veilede dem i hvordan de kan gjøre det på en sikrere måte.

La oss ta et eksempel med rapportering av et sikkerhetsproblem. La oss si at dette må gjøres gjennom et tilpasset arkiveringssystem der mange detaljer må søkes etter og fylles ut, hvorav de fleste ikke vil bli brukt uansett, noe som koster den ansatte 15 minutter av tiden deres. Det kan brukes i begynnelsen, men det er ikke bærekraftig. Det er lettere å gjøre det senere og glemme det. Ta nå et annet system der en medarbeider kan sende en enkel melding på Slack med en kort beskrivelse av problemet, og så vil det bli tatt hånd om. Det er fortsatt noen trinn for den ansatte, men det er veldig enkelt og krever lite innsats. Og kanskje enda viktigere: Medarbeideren er ikke lenger ansvarlig for å løse problemet. De sender beskjeden og kan fortsette med dagen sin, noe som er mye enklere enn å håndtere de uunngåelige konsekvensene av en sikkerhetshendelse. Så i stedet for å tvinge folk til å jobbe ineffektivt og deretter klandre dem for å gjøre feil, ser man på hva som er ineffektivt, og så forbedrer man det, slik at det blir enklere.

Selvsagt finnes det tiltak for å øke sikkerheten, men hindringer på veien for dine ansatte gjør arbeidet deres unødvendig vanskeligere. Mange av disse hindringene kan fjernes ved hjelp av automatisering eller enkel delegering av oppgaver.

Sikkerhet for mennesker

Vi har tidligere snakket om sikkerhet for mennesker i forbindelse med å gjøre feil. Vi kan også bruke dette på sikkerhet. Folk må kunne snakke om sikkerhet, nevne sikkerhetsproblemer og korrigere hverandres atferd uten at det får negative konsekvenser. Hvis de ansatte føler at de ikke kan snakke om sikkerhet eller ikke vet hvor de skal gjøre det, vil sikkerhetstiltakene utgjøre en hindring for dem. Alle medarbeiderne har sin egen ekspertise og erfaring på sitt felt, så de vet hva de jobber med.

Folk må kunne snakke om sikkerhet, nevne sikkerhetsproblemer og korrigere hverandres oppførsel uten at det får negative konsekvenser.

De kan bidra med forslag til tiltak for spesifikke sikkerhetsproblemer, de kan gi tilbakemelding på allerede iverksatte tiltak, og de kan varsle deg om hindringer på veien. Så da vi fikk høre at noen hadde mistet nøklene sine eller at papirarbeidet rundt et kundeintervju var for mye arbeid, ble vi ikke sinte eller avvisende. Vi var glade for at de kom til oss med denne informasjonen. Hvis du ikke behandler disse tilbakemeldingene som verdifulle, eller hvis du ikke gjør noe med dem, mister du de ansattes interesse for å jobbe sikkert.

Fortsett å forbedre deg 

Vi har allerede snakket om å forbedre informasjonssikkerheten, men det er minst like viktig å fortsette å forbedre sikkerhetsprosessene for de ansatte. Hvis du ikke aktivt lytter til de ansatte og endrer det som ikke fungerer, vil sikkerhetstiltakene til slutt slutte å fungere. De ansatte, i likhet med selskapet selv, vil fortsette å endre seg. Easy LMS vil fortsette å endre seg, og det samme vil sikkerhetsprosedyrene våre, ikke bare for å gjøre dem bedre, men også for å gjøre dem enklere.

Se flere av våre blogger

Caroline

Caroline

12. des 2024

Våre sekundære sysselsettingsfordeler forklart

Selv om lønnen er viktig når du velger jobb, må vi ikke glemme frynsegodene som følger med. De sekundære fordelene kan virkelig gjøre avtalen bedre! Og vi mener vi har satt sammen en fantastisk pakke. Ta en titt på alle de fantastiske ekstragodene våre!

Les mer
Caroline

Caroline

8. apr 2025

Jobber og trives!

Å jobbe for Easy LMS er givende! Selvfølgelig gir vi konkurransedyktig lønn, reise- og hjemmefradrag og 25 betalte feriedager per år! Men vi er også stolte av å tilby deg fordeler som hjelper deg å føle og gjøre ditt beste. Ditt velvære, fysisk og mentalt, er en topp prioritet! Fordi våre ansatte er ryggraden i organisasjonen vår.

Les mer
Caroline

Caroline

22. apr 2025

Din første måned

Når du har en ny jobb er du ivrig etter å komme i gang! Samtidig er det alltid en sunn dose nerver. Hva venter deg? Hvordan vil de første ukene dine se ut? Og hvor raskt kan du virkelig tilføre verdi? Det siste er vårt fokus. Vårt oversiktlige onboarding-program for programvareingeniører vil hjelpe deg å bli kjent med selskapet vårt, kollegene dine og oppgavene dine på kort tid! Opplev hvordan vi gir deg en kickstart!

Les mer