En viktig pusselbit i en organisations informations- och IT-säkerhetsarbete är medarbetarnas agerande.
– Tekniska åtgärder är inte tillräckliga utan det är ofta den mänskliga faktorn som blir ”dörröppnare” för cyberbrottslingar och skapar informations- och IT-säkerhetsrisker. Därför granskar Lunds universitets internrevision under 2023 universitetets informations- och IT-säkerhetskultur, Jean Odgaard, revisionschef på internrevisionen.
Granskningen görs genom ett antal olika aktiviteter under hösten 2023. Ett par av aktiviteterna är inriktade på att få en bild av hur säkerhetsmedvetna universitetets anställda är. Därför har internrevisionen anlitat en extern IT-säkerhetsexpert som i gemensamt arbete med internrevisionen har iscensatt ett nätfiske (så kallat phishing) via e-post den 15 november samt försökt till bedrägeri via telefonsamtal (så kallad vishing) den 20 till 22 november.
Resultatet ska analyseras
Aktiviteterna är nu avslutade och internrevisionen kommer att ta del av och analysera resultatet. Resultatet och analysen av den, samt rekommendationer om förbättringar, kommer att redovisas i internrevisionens samlade rapport från granskningen till universitetsstyrelsen. I nästa steg tar förbättringsarbetet vid.
– Syftet med de iscensatta aktiviteterna har inte varit att peka ut enskilda medarbetare, chefer eller funktioner utan vi ville få ett resultat för hela Lunds universitet. Vi kommer inte titta på hur enskilda personer eller delar av organisationen har agerat, säger Jean Odgaard.
– Vi såg att det var många inom universitetet, både chefer och medarbetare, som var vaksamma och direkt både reagerade och agerade på aktiviteterna. Det är mycket positivt.
– De stora kontaktytorna som ett universitet har utnyttjas i allt högre utsträckning av fientliga intressen som är ute efter att stjäla, förvanska eller förstöra till exempel forskningsdata. Det är ofta den mänskliga faktorn som avgör om dessa intressen får åtkomst till data. En god IT-säkerhetskultur förutsätter att samtliga användare är medvetna om risken att de kan bli utsatta för bedräglig kommunikation, säger Therese Kropp, internrevisor och ansvarig granskningsledare.
Granskningsrapporten kommer att publiceras när den är färdig.
Läs mer: