- Som initiativtaker for Security Champions-programmet i organisasjonen, så er jeg en stemme i kanalen som tar meg litt av det administrative. Men det er Security Champions-ene selv som blir med på å forme programmet, og tar på seg sikkerhetshatten i sitt team, sier Rameen Khan, sikkerhetskonsulent i NRKs avdeling for operativ sikkerhet, til kode24.
Nylig arrangerte NRK en samling for landets Security Champions på et konferanserom i Ullevaal stadion-bygget i Oslo.
NRK startet opp sitt eget Security Champions-program rett før sommeren, og har nå nesten 30 medlemmer.
NAV gjør DevSecOps med 'security champions': - Det første forsøket feilet
Vil skape mer bevissthet
Ifølge Khan gjør NRKs rolle som allmennkringkaster, der formålet er å oppfylle demokratiske, sosiale og kulturelle behov og et samfunnsoppdrag, at det er viktig med god sikkerhet i organisasjonen.
Ett av målene med Security Champions-programmet er å bygge en tverrfaglig gruppe som kan bidra til å gjøre de ansatte mer selvstendige, og heve deres sikkerhetskompetanse.
- Vi ønsker å unngå å gå inn som sikkerhetsarkitekter på slutten av et langt prosjekt. I stedet ønsker vi at det skal jobbes med sikkerhet fra start til slutt, og at det skal settes i forgrunnen i arbeidet. Dette fordrer at de som jobber i ulike prosjekter har litt sikkerhetskompetanse, sier hun.
Khan tror at Security Champions-programmet gjør at folk blir mer bevisste på sikkerhet.
- Selv om du for eksempel sitter i HR, må du ha et forhold til sikkerhet. Denne bevisstgjøringen er veldig klar og tydelig i Security Champions-programmet. Jeg tror at folk får mer eierskap til feltet og tørr å heve stemmen, sier hun.
«Det som har hjulpet oss godt er at jeg brukte mye tid på kartlegging. Både på bunnlinja og høyere nivå»
Roser ledelsen
- Hva er suksessoppskriften til å få folk involvert?
- Ledelsen fortalte meg at de tidligere hadde gjort noe lignende som Security Champions. Det hadde ikke fungert, siden folk ikke var engasjerte nok. Det som har hjulpet oss godt er at jeg brukte mye tid på kartlegging. Både på bunnlinja og høyere nivå, forteller Khan, som roser ledelsen for å være tydelige på at de skal eie IT-sikkerhet.
Ifølge Khan gjør hun også kontinuerlige evalueringer på om dette er noe folk liker eller ikke.
- Vi som sitter i redaksjonen er veldig åpne for tilbakemeldinger, og opptatt av at folk skal få være med på å forme programmet, sier hun.
Produkteiere kan stå i veien for sikkerhet: - De er ofte i en skvist rolle
Er åpent for alle i organisasjonen
En utfordring har vært å arrangere fagsamlinger som treffer alle, forteller Khan. Samtidig mener hun at det er en styrke at folk fra ulike deler av organisasjonen vet om oppgavene til andre.
- Vi har fått tilbakemeldinger fra security champions som ikke jobber teknisk at det å få innsyn i sikkerhetsarbeidet til utviklerne, gjør at de forstår arbeidsoppgavene deres bedre, sier Khan.
NRKs Security Champions-program er åpent for alle i organisasjonen, og det inkluderer også journalister.
- Vi kan for eksempel lære opp journalistene til å beskytte seg mot phishing og sikre enhetene sine på reiser, sier hun.
«Vi ønsker også at folk som er interessert i IT-sikkerhet skal bli mer synlig, slik at terskelen for å ta kontakt skal bli lavere.»
Her er Khans beste tips
Khan håper at Security Champions-programmet kan være med på å knytte sammen folk med kunnskap fra ulike områder.
- Vi ønsker også at folk som er interessert i IT-sikkerhet skal bli mer synlige, slik at terskelen for å ta kontakt blir lavere. Dette kan skape raskere og bedre sikkerhet i organisasjonen.
Dersom du vil startet et program i din egen bedrift har Khan følgende tips:
- Skap interesse ved å snakke høyt om det, og promoter det i organisasjonen og for ledelsen. Det hjelper veldig godt å vise til andres suksesshistorier - vi inviterte for eksempel NAV til NRK. Du kan også være med på den nasjonale Slack-kanalen vår. Her kan du få tips til hvordan du kan utvikle programmet selv, teste med teamet ditt og se stille spørsmål, sier hun.
Nytt nasjonalt Security Champions-felleskap: - Vil hjelpe andre før de går i samme feller som oss
Har vært klare og tydelige
Ifølge Kai Johansen, leder for operativ IT-sikkerhet i NRK, er det flere snublesteiner som kan møte deg, dersom du ønsker å starte et Security Champion-program på jobben.
- En snublestein har vært å ha en klar rolle og mandat. I NRK skal vi også være gode på produksjon, og det passer ikke alltid med sikkerhetskulturen vi ønsker. Det er også viktig å ha en god kommunikasjon ut. Så er det også viktig å jobbe med opplæring for å få til en god sikkerhetskultur, sier han.
Ifølge Johansen har de også vært veldig klare på hva NRK som organisasjon får ut av å ha et Security Champions-program.
- Det er veldig bra at ledelsen tar eierskapet til sikkerhet og har sagt at sikkerhet er noe angår oss alle, sier han.
Østre Toten om ransomware-angrepet: - Vi prioriterte ikke sikkerhet høyt nok
Et svar på bemanningskrise
- Kan Security Champion være ett svar på utfordringen med å ansette nok sikkerhetsfolk?
- Absolutt. Vi finner mange talenter innad som har lyst til å jobbe med sikkerhet. Det er kjempebra for NRK, sier Johansen.
Han forteller at NRK har kjøpt inn lisenser fra tryhackme.com.
- Vi prøver å lage et program for å gå sikkerhetsveien, og ser også muligheten for at folk som blir interessant kan ønske å jobbe med dette videre, sier han.