Lyssna

Utbilda och kommunicera

Den här vägledningen ger stöd i att utbilda och kommunicera informations­säker­hets­relaterade frågor i organisationen. Både utbildning och kommunikation behöver ske kontinuerligt och på olika sätt och är en grundpelare i ett systematiskt informations­säkerhetsarbete.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Syftet med att utbilda och kommunicera

För att kunna öka medvetenhet och kunskap om informations­säkerhet så behöver ni både hålla utbildningar och kommunicera internt. På detta sätt kan ni minska riskerna med informations­säkerhet, och dessutom uppnå en bättre efterlevnad av de regler och mål som ni har satt upp.

Utbildning och kommunikation kan också öka acceptansen av och förståelsen för de säkerhetsåtgärder som ni har valt att implementera – och för informationssäkerhet i stort.

Det är viktigt att ni kommunicerar om informationssäkerhet. Det är bra om kommunikationen sker såväl formellt och planerat (till exempel genom utbildningar), som informellt och spontant (till exempel genom samtal vid kaffe­automat­en).

Till denna vägledning finns ett tillhörande verktyg, som kan hjälpa er att skapa en utbildnings- och kommunikationsplan för informationssäkerhet (Verktyg Använda Utbildning och kommunikation).

Ingångsvärden till utbildning och kommunikation

Det finns viktiga ingångsvärden i era analyser från tidigare vägledningar. Några exempel på sådana:

  • Organisation, roller och ansvar kopplade till informationssäkerhet, från Utforma Organisation.
  • Årlig handlingsplan för informationssäkerhet, från Utforma Handlingsplan.
  • Styrdokument i form av informationssäkerhetspolicy, riktlinjer, instruktioner eller andra styrdokument, från Utforma Styrdokument.
  • Interna behov av utbildning och kommunikation som framkommit i andra delar av metodstödet, exempelvis från Identifiera och analysera Verksamhet.

Andra viktiga ingångsvärden är organisationens mognad inom informationssäkerhet och hur styrning av kompetensförsörjning och kommunikation sker i organisationen, både formellt och informellt.

Behovet av utbildning och kommunikation internt

Att sprida kunskap om informationssäkerhet, och att kommunicera kring dessa frågor, är ett ständigt pågående arbete som är nödvändigt för att kunna skapa ett systematiskt informations­säkerhets­arbete.

Det är därför viktigt att ni strävar efter att upprätthålla medarbetarnas engagemang och intresse för informations­säkerhets­frågorna. Denna arbetsuppgift ligger inte enbart på den som är CISO utan på samtliga personer eller roller som arbetar med informationssäkerheten.

Det behöver ni göra genom hela årscykeln – vilket detta metodstöd kan hjälpa er med (från delen Identifiera och analysera via Utforma och Använda, och slutligen till Följa upp och förbättra).

Argumentera för informationssäkerhet – ett nytt område

Informationssäkerhet är ett relativt nytt område, särskilt om man jämför med äldre, mer etablerade områden som ekonomi eller brandskydd. Eftersom det är så pass nytt, så är området fortfarande okänt för många. Med andra ord: alla förstår inte nyttan eller syftet med informationssäkerhet ännu.

Dessutom konkurrerar ämnet med en mängd andra frågor i en organisation. Detta kan göra att man återkommande behöver förklara, beskriva – och även försvara –varför det är viktigt med informationssäkerhet.

En grundläggande argumentation är att informationssäkerhet förbättrar organisationens kvalitet och effektivitet samt ofta är en förutsättning för många nödvändiga företeelser, som exempelvis digitalisering och mobilitet.

Utbildning och kunskap ger ökad acceptans och förståelse

Utbildning i och kommunikation kring informationssäkerhet, både formell och informell, bör förekomma löpande, till och med dagligen.

Att utbilda olika interna roller är ett sätt att öka acceptansen för informationssäkerhet. Detta genom att dina medarbetare får en förståelse för varför informationssäkerhet behövs, och varför ni behöver avsätta särskilda resurser för att lyckas.

För att kunna uppnå och hålla den nivå på informationssäkerhet som ni vill och behöver ha är det lika viktigt att satsa på kompetens- och medvetandehöjande åtgärder som på tekniska åtgärder. Kunskap är en förutsättning för informations­säkerhet. Även dessa satsningar är att se som investeringar i organisationens informationssäkerhet.

Driv frågorna i olika sammanhang

Den som är CISO behöver ta upp och driva informationssäkerhets­frågorna – i så många olika sammanhang och forum som möjligt. Informations­säkerhets­aspekter finns inom så gott som alla områden i en organisation, inom olika verksamheter, förändringsarbete, nya satsningar, projekt och liknande.

Ledningens engagemang avgörande

Ledningens förståelse, engagemang och syn på informationssäkerhet är grundläggande. Utan detta är det svårt att skapa en tillräcklig informationssäkerhet. Med andra ord är det ledningen som behöver utbildas, och vid behov övertygas, först av alla i organisationen eftersom deras stöd är viktigt för att ni ska få acceptans och ett engagemang från andra roller i organisationen.

Är ledningen ombord? Be dem uttrycka sitt stöd – både formellt och informellt

Ledningen behöver uttrycka sitt stöd för det interna informations­säkerhets­arbetet. Detta kan ske dels formellt genom informationssäkerhetspolicyn, dels informellt – genom sitt beteende och hur de agerar (uttalanden, resurstilldelning, beslut om aktiviteter, osv.).

Ifall ledningen inte tycker att informationssäkerhet är så viktigt, eller att det är något som inte behöver prioriteras, så har de med största sannolikhet inte rätt kunskap och behöver därmed få mer information. Upplever ni att ni inte får ledningens förståelse och stöd kommer ni sannolikt att arbeta i motvind.

För att få med ledningen behöver ni kommunicera och rapportera löpande till dem. Ibland kan det vara bra att försöka få till särskilda dragningar med ledningen i utbildande (och vid behov övertygande) syfte. Ledningen behöver få information för att förbli motiverade – både om interna händelser och om områdets aktualitet.

Ofta begränsad tid med ledningen

När man ska kommunicera med ledningen så får man ofta väldigt begränsat med tid. Det gäller därför att planera föredragets innehåll och form extra noga, samt vara tydlig och bestämd med vilket budskap som man vill lyfta fram.

Att ledningen förstår nyttan med informationssäkerhet – en nyckel

En grundregel är att ledningen behöver förstå själva nyttan med informations­säkerhet. Vi beskriver en del nyttor i metodstödets Att arbeta systematiskt med informationssäkerhet, samt i vägledningen för Kostnadsnyttoanalys (KNA). Här följer en sammanfattning för att förenkla.

Lista över information som ledningen behöver, för att bättre förstå nyttan med informationssäkerhet:

  • Övergripande information om informationssäkerhet och systematiskt informationssäkerhetsarbete med fokus på dess nytta.
  • Hur konkurrenter arbetar, och hur andra organisationer i branschen/sektorn arbetar eller planerar att arbeta med dessa frågor.
  • Aktuella hot och incidenter, med fokus på vilka konsekvenser det kan få för organisationen.
  • Rättsliga krav, både nuvarande och kommande.
  • Uttalanden från politiker och andra ledande personer.

Löpande kommunikation och marknadsföring till andra medarbetare

Som CISO har man ofta ett kunskapsöverläge i organisationen i dessa frågor, och får ofta nyheter inom området först. CISO fungerar ofta som ambassadör, och bör kontinuerligt sprida information vidare i organisationen och regelbundet informera om nyheter, ge tips och liknande. Detta höjer ofta engagemanget hos mottagarna. Att sprida kunskap utifrån de olika rollernas behov av kunskap är en viktig uppgift för CISO.

För dig som arbetar inom området så kan det vara bra att ”missionera” lite genom att marknadsföra frågorna i informella sammanhang.

Så här kan du göra ifall du på kort tid ska berätta om informationssäkerhet:

  1. Förklara vad informationssäkerhet är.
  2. Motivera varför informationssäkerhet är viktigt (referera gärna till aktuella händelser som rapporterats i media eller annat som de flesta känner till).
  3. Beskriv kortfattat vad som pågår i er organisation, vad ni planerar och vilka som är inblandade i planering och utförande.

Synliggör vad som är på gång

Det är effektivt att synliggöra vad som är på gång i organisationens olika kommunikations­kanaler. Det kan ske till exempel via intranätet, en personaltidning, ert nyhetsbrev eller via olika e‑postlistor till medarbetare och chefer. Det viktigaste är att arbetet sker löpande.

Kontakta gärna personerna som är redaktörer för era kommunikations­kanaler – gör ett försök att sälja in informationssäkerhet och få dem att göra ett reportage! Eller be dem om hjälp att informera organisationen genom att belysa mindre händelser och nyheter inom området med en kort notis på intranätets förstasida eller liknande. Notiserna kan gälla till exempel informations­säkerhets­relaterade tjänster som blivit tillsatta, eller nya styrdokument och/eller lagar som börjat gälla.

Skapa en särskild sida för informationssäkerhet på intranätet

Det är både smart och praktiskt att skapa en särskild sida för informationssäkerhet på intranätet. Där kan ni samla all väsentlig information: styrdokument, organisation, utbildningar, nyhetsbrev, externa länkar, diskussionsforum med mera. Hänvisa sedan till denna sida så ofta ni kan, i olika sammanhang.

Roller i organisationen av vikt för informationssäkerhetsarbetet

Ni bör ge lämplig kommunikation och stöd löpande till personer som:

  • har ett uttryckt informationssäkerhetsansvar
  • är inblandade i aktiviteter i handlingsplanen
  • är ålagda att efterleva styrdokument

Om ni har skapat ett råd eller forum för informationssäkerhet (se Utforma Organisation) där representanter från organisationens olika delar är representerade, så utgör detta en bra plattform för kommunikation.

Skapa en utbildnings- och kommunikationsplan för informationssäkerhet

Ni behöver även en strukturerad planering vid sidan av den informella kommunikationen. Planering är viktigt för att alla roller ska få rätt information och kunskap över tid. En utbildnings- och kommunikationsplan för informationssäkerhet behöver möta de olika rollernas ansvar och arbetsuppgifter.

En utbildnings- och kommunikationsplan är en strukturerad plan över tid som innehåller utbildningar och olika aktiviteter. Vissa aktiviteter pågår under en begränsad tidsperiod (som en kampanj), medan andra aktiviteter är löpande (som ett nyhetsbrev).

Planera in aktiviteterna långt i förväg, så att ni kan informera medarbetarna om dem i god tid. Tänk på att olika målgrupper har olika kunskapsbehov – var noga med att målgruppsanpassa innehållet.

Ni kan använda Verktyg Utbildning och kommunikation för att skapa ett program för säkerhetsmedvetande innehållande roller, kunskapsbehov och aktiviteter.

Olika roller – olika kunskapsbehov

Alla i en organisation har någon form av kunskapsbehov när det gäller informations­säkerhet – från ledning ner till enskild medarbetare. Vilket kunskapsbehov man har beror på vilken roll man har. Det är med andra ord stor skillnad på kunskapsbehovet hos exempelvis en receptionist, en nätverkstekniker och en VD.

Det är också viktigt att koppla kunskapsbehovet till rollernas informations­säkerhets­ansvar, deras uppgifter enligt handlingsplanen, deras förväntade beteende, eller deras vilja att efterleva styrdokument. Se vägledningarna Utforma OrganisationUtforma Handlingsplan och Utforma Styrdokument för mer information om detta.

Gör en målgruppsindelning som baseras på kunskapsbehovet

Den information som ni förmedlar behöver vara både relevant och begriplig för mottagaren. Dessutom ska mottagaren kunna koppla informationen till sitt eget ansvar och sin egen arbetssituation.

För att säkerställa att ni riktar era utbildnings- och kommunikationsinsatser till rätt roller kan ni behöva göra en målgruppsindelning.

Exempel på målgruppsindelning:

  • Alla medarbetare
  • Ledning
  • Informationssäkerhetssamordnare
  • It‑avdelning
  • Projektledare och förvaltningsledare
  • Avdelningschefer och objektägare

Till listan kan även läggas kompetensutveckling av CISO-rollen och it-säkerhetsansvarig (el. motsv.).

Målgruppsindelningen behöver baseras på rollernas kunskaps- och informations­­behov för att rätt målgrupp ska få rätt typ av insats. För att få reda på vilket behov målgruppen har inför en intern kompetensutveckling, så är det bra att samverka med:

  • cheferna för respektive målgrupp
  • intern personalfunktion (hr)
  • olika kommunikationsfunktioner (till exempel redaktörer för olika kommunikationskanaler).

Använd externa resurser för kompetensutveckling

Det finns externa resurser som stödjer kunskapsutveckling och medvetandehöjning inom informations­säkerhet. En del tillhandahålls av myndigheter och intresse­organisationer, andra av den kommersiella marknaden. Här är exempel på sådana resurser:

  • ”Datorstödd informationssäkerhetsutbildning för användare” (DISA), från MSB.
  • ”Securing the Human”, från SANS
  • ”European Cyber Security Month” (ECSM), från ENISA (Europeiska unionens byrå för nät- och informationssäkerhet)

Aktiviteter

I tabellen nedan beskriver vi några vanliga aktiviteter relaterade till informations­säkerhet, som ni kan använda för att höja kunskapen och medvetenheten internt. Aktiviteterna kan utföras både var för sig, eller i kombination.

Aktiviteterna kan antingen vara specifika för informationssäkerhet, eller ingå som en del av aktiviteter inom andra områden (som digitalisering, generell säkerhet eller kvalitets­utveckling).

Det finns många olika åtgärder för att öka kunskap och sprida information. Se därför nedanstående aktiviteter som exempel – inte som en fullständig lista.

Tabell A3:1: Beskrivning av aktiviteter

Aktivitet

Beskrivning

Utbildningar

Ni kan antingen köpa utbildningar inom informationssäkerhet externt eller ta fram dem internt och skräddarsy dem efter er organisation. Ni kan även varva externa lärare med interna. Om det är en stor användar­grupp så är e‑utbildningar kostnadseffektiva, och kan dessutom användas för självstudier i egen takt.

Kampanjer

En organisationsövergripande kampanj, som en ”informations­säkerhets­dag”, skapar ofta uppmärksamhet kring frågorna. Dagen kan innehålla en mängd aktiviteter, föreläsningar och seminarier. Profilera gärna dagen med en slogan eller en symbol som ni kan exponera på trycksaker och webben, samt för att påminna om kampanjen i efterhand. Det finns färdiga, kända kampanjer som ni kan använda, till exempel European Cyber Security Month (ECSM) som anordnas av ENISA.

Nyhetsbrev

Ta upp aktuella händelser i ett nyhetsbrev om informationssäkerhet. som ni skickar ut via e-post. Det kan gälla nya rättsliga krav, incidenter eller tips och rön. Rikta er till alla medarbetare, eller ha en mer avgränsad målgrupp (till exempel de som aktivt arbetar med informations­säkerhet. Utforma nyhetsbrevet på egen hand, eller utgå från en färdig mall (till exempel OUCH! från Securing the Human (SANS)).

Deltagande

Det är ofta mycket effektivt att låta medarbetare medverka vid riskanalyser eller informationsklassningar och dylikt. Det påvisar förhållanden som är direkt kopplade till er organisation.

Referens till standarder i 27000-serien

SS‑EN ISO/IEC 27001:2022 (avsnitt 5.1 och 7.2–7.4)
SS‑EN ISO/IEC 27002:2022 (avsnitt 6.3).

Heldagsutbildning

Heldagsutbildning för lokala informationssäkerhetssamordnare

Detta utbildningsmaterial riktar sig till dig som är CISO, för att du ska kunna utbilda de medarbetare som är utsedda att stödja dig med olika praktiska arbetsuppgifter i det systematiska informationssäkerhetsarbetet. Utbildningen ger en grundläggande teoretisk förståelse för vad systematiskt informationssäkerhetsarbete är och möjlighet att prova på några vanliga arbetsuppgifter i det operativa systematiska informationssäkerhetsarbetet.

Du som CISO kan börja med att läsa handledningen för att se hur materialet hänger ihop och vilka anpassningar du kan göra utifrån din organisations behov.

Materialet består av 6 stycken filer:

Verktyg

Verktyg inom Använda

Använda Utbildning och kommunikation (.xlsx)

19 kB

Detta verktyg kan hjälpa er att skapa en utbildnings- och kommunikationsplan för informationssäkerhet.

Vägledningar:

Utbilda och kommunicera

Datum:

25 juni 2024
Vill du hellre skriva ut vägledningen så finns det en utskriftsvänlig version.

Revideringshistorik

Uppdaterad: 20 juni 2024 klockan 09:53 Publicerad: 20 juni 2024 klockan 09:53
Kontakta sidansvarig: informationssakerhet@msb.se

Övriga vägledningar inom Använda

Riskanalys

Riskanalysen genomförs utifrån den riskanalysmodell som organisationen har tagit fram.

Klassning av information

I den här vägledningen beskrivs hur arbetet med att klassa organisationens information genomförs.

Genomföra och efterleva

Denna vägledning ger en översikt över aktiviteter för att tillämpa de styrningar ni har utformat.