Starfsfólkið er öflugasta varnarlínan Margrét V. Helgadóttir skrifar 28. maí 2026 14:32 Flest fyrirtæki og stofnanir á Íslandi hafa fjárfest í alls kyns tæknilausnum til að verjast sívaxandi netógnum. Engu að síður sjáum við reglulega fréttir af gagnalekum, netárásum og rekstrartruflunum. Ástæðan er sjaldnast sú að tæknin hafi brugðist. Ástæðan er yfirleitt sú að upplýsingaöryggi hefur aldrei orðið raunverulegt forgangsmál stjórnenda og hluti af menningu fyrirtækis. Því miður verður það oft ekki fyrr en eftir að skaðinn er skeður. Upplýsingaöryggi er enn alltof oft flokkað sem tölvumál innan fyrirtækja og stofnana. Eitthvað sem tæknideildin á að sinna, en framkvæmdastjórn og stjórnir koma aðeins að þegar eitthvað fer úrskeiðis. Þetta er varhugaverð nálgun, hún getur verið kostnaðarsöm og laskað bæði traust og orðspor fyrirtækisins. Upplýsingaöryggi er ekki tæknimál árið 2026 heldur stjórnendamál. Stjórnendur bera ábyrgð á áhættustýringu skipulagsheilda. Í dag er upplýsingaöryggi ein stærsta rekstraráhætta flestra fyrirtækja og sambærileg við fjármálaáhættu, lagalega áhættu eða orðsporsáhættu. Samt sjáum við enn að upplýsingaöryggismál eru sett í hendur sérfræðingum án þess að vera hluti af reglulegri stefnumótun eða ákvörðunum stjórnenda. Ef upplýsingaöryggi er eingöngu til umræðu eftir að krísa skellur á er það ekki raunverulegt forgangsmál heldur viðbragð. Ef upplýsingaöryggi á að hafa raunveruleg áhrif þarf það að vera fastur liður á dagskrá stjórnenda, rætt á stjórnarfundum, tengt við rekstrarmarkmið og fjárfestingar, og metið með sama hætti og önnur lykiláhætta hvers fyrirtækis eða stofnunar. Þrátt fyrir alla tæknina eiga mörg alvarleg öryggisatvik rætur sínar í mannlegum þáttum. Veiðipóstar sem eru opnaðir með einum smelli, gögn rangt meðhöndluð, veik lykilorð eða einfaldlega skortur á skilningi á áhættunni. Rót vandans liggur oft í mannlega þættinum. Öryggismenning er ekki síður mikilvæg en kerfis- og tæknilegar varnir. Öflug öryggismenning felst í því að starfsfólk skilur hvers vegna upplýsingaöryggi skiptir máli, veit hvernig það á að bregðast við og upplifir að það megi ræða mistök og grunsamleg atvik opinskátt. Slík menning verður ekki til af sjálfu sér. Hún verður til þegar stjórnendur leiða hana markvisst og sýna gott fordæmi. Starfsfólk horfir fyrst og fremst til stjórnenda. Ekki hvað þeir segja, heldur hvað þeir gera.Ef stjórnendur sleppa öryggisfræðslu, læsa ekki tölvum þegar þeir yfirgefa starfsstöðina, nota einföld lykilorð eða fara fram hjá verklagi, senda þeir skýr skilaboð til starfsfólksins um að öryggið skipti ekki máli. Ef þeir gefa öryggismálum tíma á fundum, spyrja gagnrýninna spurninga og eru sjálfir fyrirmyndir í hegðun, þá smitast það út um allt fyrirtækið. Jafnframt þurfa þeir að gera viðbragðsáætlanir og æfa viðbrögð við atvikum, rétt eins og gert er varðandi brunavarnir eða annað rekstrarrof. Þegar upplýsingaöryggi er samþætt nýliðaþjálfun, daglegt verklag, árangursmælingar og stjórnendafundi verður það hluti af menningu fyrirtækisins. Æðstu stjórnendur leggja grunninn að öflugri öryggismenningu. Það þýðir að stjórnendur þurfa að vera sýnilegir talsmenn upplýsingaöryggis og taka sjálfir þátt í fræðslu og æfingum. Þeir þurfa að setja skýrar væntingar til starfsfólks, skapa umhverfi þar sem fólk þorir að tilkynna mistök og tryggja að öryggi sé aldrei fórnað fyrir hraða eða þægindi. Þetta eru ekki tæknilegar ákvarðanir. Þetta eru viðfangsefni leiðtoga. Í stafrænum heimi er traust eitt mikilvægasta samkeppnisforskot fyrirtækja. Traust er ekki sjálfgefið, það er áunnið og því þarf að viðhalda, en því er líka hægt að glata á einni nóttu. Stjórnendur hafa vald til að ákveða hvort upplýsingaöryggi sé raunverulegt forgangsmál eða fallegt orð í stefnu. Með því að setja skýra stefnu, sýna fordæmi og fylgja eftir kröfum, verja þeir ekki bara gögn heldur sambandið við viðskiptavini, starfsfólk og samfélagið allt. Stjórnendur sem fjárfesta í öryggismenningu eru því ekki bara að verja kerfi. Þeir eru að verja framtíð og orðspor fyrirtækisins. Netógnir munu halda áfram að aukast. Spurningin er ekki hvort fyrirtæki verði fyrir öryggisatviki, heldur hvenær og hversu alvarlegt það verður. Upplýsingaöryggi er ekki lengur afmarkað sérsvið heldur sameiginlegt ábyrgðarefni. Það er grunnforsenda nútímarekstrar allra fyrirtækja og stofnana. Stjórnendur verða að fara að setja upplýsingaöryggi á sömu hillu og önnur lykilforgangsmál eins og fjármál, gæði, öryggi starfsfólks og þjónustu við viðskiptavini. Þeir þurfa að leiða með fordæmi og skapa menningu þar sem upplýsingaöryggi er sameiginlegt verkefni allra. Upplýsingaöryggi er spurning um forystu, ekki kostnað. Það er mælikvarði á ábyrgð, framsýni og gæði stjórnunar. Stjórnendur setja tóninn. Og í stafrænum heimi er sá tónn annað hvort skýr og ábyrgur eða dýrkeyptur. Höfundur er sérfræðingur í net- og upplýsingaöryggi hjá netöryggissviði Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Mest lesið Getum við gert betur fyrir íslensk heimili? Berglind Guðmundsdóttir Skoðun Ofveiðin í ESB fyrir 500 árum Sigurjón Þórðarson Skoðun Bless tollfrjálsu Temu, Shein og Alibaba Jón Pétur Zimsen Skoðun Óafsakanlegt, en ekki óleysanlegt Birgir Hrafn Birgisson Skoðun FIFA skapar nýja skúrka Bragi V. Bergmann Skoðun Tæknin kemur hratt - en ávinningurinn ekki sjálfkrafa Gísli Rafn Ólafsson Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson Skoðun Temu-pakkar JP Zimsen eða alvöru hagsmunir Íslands Sveinn Atli Gunnarsson Skoðun Vangaveltur Hörður Torfason Skoðun Þegar stórveldin gera það sem þeim sýnist er ESB okkar besti kostur Eiríkur Ragnarsson Skoðun Skoðun Skoðun Hvalfjarðarsveit kallar eftir samtali við Vegagerðina um umferðaröryggi Björn Bjarki Þorsteinsson skrifar Skoðun Tæknin kemur hratt - en ávinningurinn ekki sjálfkrafa Gísli Rafn Ólafsson skrifar Skoðun Óafsakanlegt, en ekki óleysanlegt Birgir Hrafn Birgisson skrifar Skoðun Ofveiðin í ESB fyrir 500 árum Sigurjón Þórðarson skrifar Skoðun Getum við gert betur fyrir íslensk heimili? Berglind Guðmundsdóttir skrifar Skoðun FIFA skapar nýja skúrka Bragi V. Bergmann skrifar Skoðun Vangaveltur Hörður Torfason skrifar Skoðun Þegar stórveldin gera það sem þeim sýnist er ESB okkar besti kostur Eiríkur Ragnarsson skrifar Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson skrifar Skoðun Temu-pakkar JP Zimsen eða alvöru hagsmunir Íslands Sveinn Atli Gunnarsson skrifar Skoðun Bless tollfrjálsu Temu, Shein og Alibaba Jón Pétur Zimsen skrifar Skoðun En stelirðu miklu... Ögmundur Jónasson skrifar Skoðun Menntun fyrir mennsku Fanney Dóróthe Halldórsdóttir skrifar Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar Skoðun Krónuskatturinn á kynslóðirnar: mesti skattur Íslandssögunnar Baldur Pétursson skrifar Skoðun Það er mér í hag að hinsegin fánar séu sýnilegir Daníel Ágúst Gautason skrifar Skoðun Minnir á kafla úr bók Franz Kafka Sigurður Páll Jónsson skrifar Skoðun Kannski erum við að spyrja rangra spurninga Haukur Logi Jóhannsson skrifar Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar Skoðun Þegar maður gengur gegn eigin gildum Sigurður Árni Reynisson skrifar Skoðun Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir skrifar Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar Skoðun Dulinn kostnaður við kreditkortið þitt Dagur B. Eggertsson skrifar Skoðun Hljóðlát endalok íslensku vefumsjónarkerfanna Birgir Hrafn Birgisson skrifar Skoðun Það borgar sig að skoða kostina Gunnar Ármannsson skrifar Skoðun Hvað sér unga fólkið sem ég sé ekki? Gunnar Salvarsson skrifar Skoðun Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson skrifar Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar Skoðun Evrópusambandið og fiskveiðar Finnur Torfi Magnússon. skrifar Skoðun Það er alltaf til byssa. Vertu blómið! Guðmunda G. Guðmundsdóttir skrifar Sjá meira
Flest fyrirtæki og stofnanir á Íslandi hafa fjárfest í alls kyns tæknilausnum til að verjast sívaxandi netógnum. Engu að síður sjáum við reglulega fréttir af gagnalekum, netárásum og rekstrartruflunum. Ástæðan er sjaldnast sú að tæknin hafi brugðist. Ástæðan er yfirleitt sú að upplýsingaöryggi hefur aldrei orðið raunverulegt forgangsmál stjórnenda og hluti af menningu fyrirtækis. Því miður verður það oft ekki fyrr en eftir að skaðinn er skeður. Upplýsingaöryggi er enn alltof oft flokkað sem tölvumál innan fyrirtækja og stofnana. Eitthvað sem tæknideildin á að sinna, en framkvæmdastjórn og stjórnir koma aðeins að þegar eitthvað fer úrskeiðis. Þetta er varhugaverð nálgun, hún getur verið kostnaðarsöm og laskað bæði traust og orðspor fyrirtækisins. Upplýsingaöryggi er ekki tæknimál árið 2026 heldur stjórnendamál. Stjórnendur bera ábyrgð á áhættustýringu skipulagsheilda. Í dag er upplýsingaöryggi ein stærsta rekstraráhætta flestra fyrirtækja og sambærileg við fjármálaáhættu, lagalega áhættu eða orðsporsáhættu. Samt sjáum við enn að upplýsingaöryggismál eru sett í hendur sérfræðingum án þess að vera hluti af reglulegri stefnumótun eða ákvörðunum stjórnenda. Ef upplýsingaöryggi er eingöngu til umræðu eftir að krísa skellur á er það ekki raunverulegt forgangsmál heldur viðbragð. Ef upplýsingaöryggi á að hafa raunveruleg áhrif þarf það að vera fastur liður á dagskrá stjórnenda, rætt á stjórnarfundum, tengt við rekstrarmarkmið og fjárfestingar, og metið með sama hætti og önnur lykiláhætta hvers fyrirtækis eða stofnunar. Þrátt fyrir alla tæknina eiga mörg alvarleg öryggisatvik rætur sínar í mannlegum þáttum. Veiðipóstar sem eru opnaðir með einum smelli, gögn rangt meðhöndluð, veik lykilorð eða einfaldlega skortur á skilningi á áhættunni. Rót vandans liggur oft í mannlega þættinum. Öryggismenning er ekki síður mikilvæg en kerfis- og tæknilegar varnir. Öflug öryggismenning felst í því að starfsfólk skilur hvers vegna upplýsingaöryggi skiptir máli, veit hvernig það á að bregðast við og upplifir að það megi ræða mistök og grunsamleg atvik opinskátt. Slík menning verður ekki til af sjálfu sér. Hún verður til þegar stjórnendur leiða hana markvisst og sýna gott fordæmi. Starfsfólk horfir fyrst og fremst til stjórnenda. Ekki hvað þeir segja, heldur hvað þeir gera.Ef stjórnendur sleppa öryggisfræðslu, læsa ekki tölvum þegar þeir yfirgefa starfsstöðina, nota einföld lykilorð eða fara fram hjá verklagi, senda þeir skýr skilaboð til starfsfólksins um að öryggið skipti ekki máli. Ef þeir gefa öryggismálum tíma á fundum, spyrja gagnrýninna spurninga og eru sjálfir fyrirmyndir í hegðun, þá smitast það út um allt fyrirtækið. Jafnframt þurfa þeir að gera viðbragðsáætlanir og æfa viðbrögð við atvikum, rétt eins og gert er varðandi brunavarnir eða annað rekstrarrof. Þegar upplýsingaöryggi er samþætt nýliðaþjálfun, daglegt verklag, árangursmælingar og stjórnendafundi verður það hluti af menningu fyrirtækisins. Æðstu stjórnendur leggja grunninn að öflugri öryggismenningu. Það þýðir að stjórnendur þurfa að vera sýnilegir talsmenn upplýsingaöryggis og taka sjálfir þátt í fræðslu og æfingum. Þeir þurfa að setja skýrar væntingar til starfsfólks, skapa umhverfi þar sem fólk þorir að tilkynna mistök og tryggja að öryggi sé aldrei fórnað fyrir hraða eða þægindi. Þetta eru ekki tæknilegar ákvarðanir. Þetta eru viðfangsefni leiðtoga. Í stafrænum heimi er traust eitt mikilvægasta samkeppnisforskot fyrirtækja. Traust er ekki sjálfgefið, það er áunnið og því þarf að viðhalda, en því er líka hægt að glata á einni nóttu. Stjórnendur hafa vald til að ákveða hvort upplýsingaöryggi sé raunverulegt forgangsmál eða fallegt orð í stefnu. Með því að setja skýra stefnu, sýna fordæmi og fylgja eftir kröfum, verja þeir ekki bara gögn heldur sambandið við viðskiptavini, starfsfólk og samfélagið allt. Stjórnendur sem fjárfesta í öryggismenningu eru því ekki bara að verja kerfi. Þeir eru að verja framtíð og orðspor fyrirtækisins. Netógnir munu halda áfram að aukast. Spurningin er ekki hvort fyrirtæki verði fyrir öryggisatviki, heldur hvenær og hversu alvarlegt það verður. Upplýsingaöryggi er ekki lengur afmarkað sérsvið heldur sameiginlegt ábyrgðarefni. Það er grunnforsenda nútímarekstrar allra fyrirtækja og stofnana. Stjórnendur verða að fara að setja upplýsingaöryggi á sömu hillu og önnur lykilforgangsmál eins og fjármál, gæði, öryggi starfsfólks og þjónustu við viðskiptavini. Þeir þurfa að leiða með fordæmi og skapa menningu þar sem upplýsingaöryggi er sameiginlegt verkefni allra. Upplýsingaöryggi er spurning um forystu, ekki kostnað. Það er mælikvarði á ábyrgð, framsýni og gæði stjórnunar. Stjórnendur setja tóninn. Og í stafrænum heimi er sá tónn annað hvort skýr og ábyrgur eða dýrkeyptur. Höfundur er sérfræðingur í net- og upplýsingaöryggi hjá netöryggissviði Fjarskiptastofu.
Skoðun Hvalfjarðarsveit kallar eftir samtali við Vegagerðina um umferðaröryggi Björn Bjarki Þorsteinsson skrifar
Skoðun Þegar stórveldin gera það sem þeim sýnist er ESB okkar besti kostur Eiríkur Ragnarsson skrifar
Skoðun Nærri þrír vinnumánuðir á ári – hinn ósýnilegi kostnaður endómetríósu Jón Ívar Einarsson skrifar
Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar
Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar
Skoðun Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir skrifar
Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar
Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar