Starfsfólkið er öflugasta varnarlínan Margrét V. Helgadóttir skrifar 28. maí 2026 14:32 Flest fyrirtæki og stofnanir á Íslandi hafa fjárfest í alls kyns tæknilausnum til að verjast sívaxandi netógnum. Engu að síður sjáum við reglulega fréttir af gagnalekum, netárásum og rekstrartruflunum. Ástæðan er sjaldnast sú að tæknin hafi brugðist. Ástæðan er yfirleitt sú að upplýsingaöryggi hefur aldrei orðið raunverulegt forgangsmál stjórnenda og hluti af menningu fyrirtækis. Því miður verður það oft ekki fyrr en eftir að skaðinn er skeður. Upplýsingaöryggi er enn alltof oft flokkað sem tölvumál innan fyrirtækja og stofnana. Eitthvað sem tæknideildin á að sinna, en framkvæmdastjórn og stjórnir koma aðeins að þegar eitthvað fer úrskeiðis. Þetta er varhugaverð nálgun, hún getur verið kostnaðarsöm og laskað bæði traust og orðspor fyrirtækisins. Upplýsingaöryggi er ekki tæknimál árið 2026 heldur stjórnendamál. Stjórnendur bera ábyrgð á áhættustýringu skipulagsheilda. Í dag er upplýsingaöryggi ein stærsta rekstraráhætta flestra fyrirtækja og sambærileg við fjármálaáhættu, lagalega áhættu eða orðsporsáhættu. Samt sjáum við enn að upplýsingaöryggismál eru sett í hendur sérfræðingum án þess að vera hluti af reglulegri stefnumótun eða ákvörðunum stjórnenda. Ef upplýsingaöryggi er eingöngu til umræðu eftir að krísa skellur á er það ekki raunverulegt forgangsmál heldur viðbragð. Ef upplýsingaöryggi á að hafa raunveruleg áhrif þarf það að vera fastur liður á dagskrá stjórnenda, rætt á stjórnarfundum, tengt við rekstrarmarkmið og fjárfestingar, og metið með sama hætti og önnur lykiláhætta hvers fyrirtækis eða stofnunar. Þrátt fyrir alla tæknina eiga mörg alvarleg öryggisatvik rætur sínar í mannlegum þáttum. Veiðipóstar sem eru opnaðir með einum smelli, gögn rangt meðhöndluð, veik lykilorð eða einfaldlega skortur á skilningi á áhættunni. Rót vandans liggur oft í mannlega þættinum. Öryggismenning er ekki síður mikilvæg en kerfis- og tæknilegar varnir. Öflug öryggismenning felst í því að starfsfólk skilur hvers vegna upplýsingaöryggi skiptir máli, veit hvernig það á að bregðast við og upplifir að það megi ræða mistök og grunsamleg atvik opinskátt. Slík menning verður ekki til af sjálfu sér. Hún verður til þegar stjórnendur leiða hana markvisst og sýna gott fordæmi. Starfsfólk horfir fyrst og fremst til stjórnenda. Ekki hvað þeir segja, heldur hvað þeir gera.Ef stjórnendur sleppa öryggisfræðslu, læsa ekki tölvum þegar þeir yfirgefa starfsstöðina, nota einföld lykilorð eða fara fram hjá verklagi, senda þeir skýr skilaboð til starfsfólksins um að öryggið skipti ekki máli. Ef þeir gefa öryggismálum tíma á fundum, spyrja gagnrýninna spurninga og eru sjálfir fyrirmyndir í hegðun, þá smitast það út um allt fyrirtækið. Jafnframt þurfa þeir að gera viðbragðsáætlanir og æfa viðbrögð við atvikum, rétt eins og gert er varðandi brunavarnir eða annað rekstrarrof. Þegar upplýsingaöryggi er samþætt nýliðaþjálfun, daglegt verklag, árangursmælingar og stjórnendafundi verður það hluti af menningu fyrirtækisins. Æðstu stjórnendur leggja grunninn að öflugri öryggismenningu. Það þýðir að stjórnendur þurfa að vera sýnilegir talsmenn upplýsingaöryggis og taka sjálfir þátt í fræðslu og æfingum. Þeir þurfa að setja skýrar væntingar til starfsfólks, skapa umhverfi þar sem fólk þorir að tilkynna mistök og tryggja að öryggi sé aldrei fórnað fyrir hraða eða þægindi. Þetta eru ekki tæknilegar ákvarðanir. Þetta eru viðfangsefni leiðtoga. Í stafrænum heimi er traust eitt mikilvægasta samkeppnisforskot fyrirtækja. Traust er ekki sjálfgefið, það er áunnið og því þarf að viðhalda, en því er líka hægt að glata á einni nóttu. Stjórnendur hafa vald til að ákveða hvort upplýsingaöryggi sé raunverulegt forgangsmál eða fallegt orð í stefnu. Með því að setja skýra stefnu, sýna fordæmi og fylgja eftir kröfum, verja þeir ekki bara gögn heldur sambandið við viðskiptavini, starfsfólk og samfélagið allt. Stjórnendur sem fjárfesta í öryggismenningu eru því ekki bara að verja kerfi. Þeir eru að verja framtíð og orðspor fyrirtækisins. Netógnir munu halda áfram að aukast. Spurningin er ekki hvort fyrirtæki verði fyrir öryggisatviki, heldur hvenær og hversu alvarlegt það verður. Upplýsingaöryggi er ekki lengur afmarkað sérsvið heldur sameiginlegt ábyrgðarefni. Það er grunnforsenda nútímarekstrar allra fyrirtækja og stofnana. Stjórnendur verða að fara að setja upplýsingaöryggi á sömu hillu og önnur lykilforgangsmál eins og fjármál, gæði, öryggi starfsfólks og þjónustu við viðskiptavini. Þeir þurfa að leiða með fordæmi og skapa menningu þar sem upplýsingaöryggi er sameiginlegt verkefni allra. Upplýsingaöryggi er spurning um forystu, ekki kostnað. Það er mælikvarði á ábyrgð, framsýni og gæði stjórnunar. Stjórnendur setja tóninn. Og í stafrænum heimi er sá tónn annað hvort skýr og ábyrgur eða dýrkeyptur. Höfundur er sérfræðingur í net- og upplýsingaöryggi hjá netöryggissviði Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Mest lesið Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir Skoðun Halldór 11.07.2026 Halldór Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson Skoðun Krónuskatturinn á kynslóðirnar: mesti skattur Íslandssögunnar Baldur Pétursson Skoðun Dulinn kostnaður við kreditkortið þitt Dagur B. Eggertsson Skoðun Það er mér í hag að hinsegin fánar séu sýnilegir Daníel Ágúst Gautason Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir Skoðun Minnir á kafla úr bók Franz Kafka Sigurður Páll Jónsson Skoðun Þegar maður gengur gegn eigin gildum Sigurður Árni Reynisson Skoðun Kannski erum við að spyrja rangra spurninga Haukur Logi Jóhannsson Skoðun Skoðun Skoðun En stelirðu miklu... Ögmundur Jónasson skrifar Skoðun Menntun fyrir mennsku Fanney Dóróthe Halldórsdóttir skrifar Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar Skoðun Krónuskatturinn á kynslóðirnar: mesti skattur Íslandssögunnar Baldur Pétursson skrifar Skoðun Það er mér í hag að hinsegin fánar séu sýnilegir Daníel Ágúst Gautason skrifar Skoðun Minnir á kafla úr bók Franz Kafka Sigurður Páll Jónsson skrifar Skoðun Kannski erum við að spyrja rangra spurninga Haukur Logi Jóhannsson skrifar Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar Skoðun Þegar maður gengur gegn eigin gildum Sigurður Árni Reynisson skrifar Skoðun Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir skrifar Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar Skoðun Dulinn kostnaður við kreditkortið þitt Dagur B. Eggertsson skrifar Skoðun Hljóðlát endalok íslensku vefumsjónarkerfanna Birgir Hrafn Birgisson skrifar Skoðun Það borgar sig að skoða kostina Gunnar Ármannsson skrifar Skoðun Hvað sér unga fólkið sem ég sé ekki? Gunnar Salvarsson skrifar Skoðun Hlutdrægni RÚV í ESB umræðunni Birgir Finnsson skrifar Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar Skoðun Evrópusambandið og fiskveiðar Finnur Torfi Magnússon. skrifar Skoðun Það er alltaf til byssa. Vertu blómið! Guðmunda G. Guðmundsdóttir skrifar Skoðun „Hagræðingar” í Reykjanesbæ Halldóra Fríða Þorvaldssdóttir,Guðný Birna Guðmundsdóttir skrifar Skoðun Óttinn sem gerir fólk leiðitamt og þörfin að tilheyra Helga Þórólfsdóttir skrifar Skoðun Tennur og tryggingar Guðjón Sigurbjartsson skrifar Skoðun Iðumálið frá upphafi frá sjónarhóli Stóru-Laxárdeildar Esther Guðjónsdótti skrifar Skoðun Íslenska fánann á ekki að nota til skemmdarverka Ugla Stefanía Kristjönudóttir Jónsdóttir skrifar Skoðun Stóra spurningin um íslenskt fiskeldi Björn Hembre,Daníel Jakobsson,Vidar Aspehaug skrifar Skoðun Bíddu! Erum við ekki að kjósa um það sama? Yngvi Ómar Sigrúnarson skrifar Skoðun Hver stjórnar ríkisstjórn Kristrúnar Frostadóttur? Júlíus Valsson skrifar Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar Skoðun Verum góð við hvort annað Eva Pandora Baldursdóttir skrifar Skoðun Ég hélt að ég vissi hvað fullveldi væri Hilmar Kristinsson skrifar Sjá meira
Flest fyrirtæki og stofnanir á Íslandi hafa fjárfest í alls kyns tæknilausnum til að verjast sívaxandi netógnum. Engu að síður sjáum við reglulega fréttir af gagnalekum, netárásum og rekstrartruflunum. Ástæðan er sjaldnast sú að tæknin hafi brugðist. Ástæðan er yfirleitt sú að upplýsingaöryggi hefur aldrei orðið raunverulegt forgangsmál stjórnenda og hluti af menningu fyrirtækis. Því miður verður það oft ekki fyrr en eftir að skaðinn er skeður. Upplýsingaöryggi er enn alltof oft flokkað sem tölvumál innan fyrirtækja og stofnana. Eitthvað sem tæknideildin á að sinna, en framkvæmdastjórn og stjórnir koma aðeins að þegar eitthvað fer úrskeiðis. Þetta er varhugaverð nálgun, hún getur verið kostnaðarsöm og laskað bæði traust og orðspor fyrirtækisins. Upplýsingaöryggi er ekki tæknimál árið 2026 heldur stjórnendamál. Stjórnendur bera ábyrgð á áhættustýringu skipulagsheilda. Í dag er upplýsingaöryggi ein stærsta rekstraráhætta flestra fyrirtækja og sambærileg við fjármálaáhættu, lagalega áhættu eða orðsporsáhættu. Samt sjáum við enn að upplýsingaöryggismál eru sett í hendur sérfræðingum án þess að vera hluti af reglulegri stefnumótun eða ákvörðunum stjórnenda. Ef upplýsingaöryggi er eingöngu til umræðu eftir að krísa skellur á er það ekki raunverulegt forgangsmál heldur viðbragð. Ef upplýsingaöryggi á að hafa raunveruleg áhrif þarf það að vera fastur liður á dagskrá stjórnenda, rætt á stjórnarfundum, tengt við rekstrarmarkmið og fjárfestingar, og metið með sama hætti og önnur lykiláhætta hvers fyrirtækis eða stofnunar. Þrátt fyrir alla tæknina eiga mörg alvarleg öryggisatvik rætur sínar í mannlegum þáttum. Veiðipóstar sem eru opnaðir með einum smelli, gögn rangt meðhöndluð, veik lykilorð eða einfaldlega skortur á skilningi á áhættunni. Rót vandans liggur oft í mannlega þættinum. Öryggismenning er ekki síður mikilvæg en kerfis- og tæknilegar varnir. Öflug öryggismenning felst í því að starfsfólk skilur hvers vegna upplýsingaöryggi skiptir máli, veit hvernig það á að bregðast við og upplifir að það megi ræða mistök og grunsamleg atvik opinskátt. Slík menning verður ekki til af sjálfu sér. Hún verður til þegar stjórnendur leiða hana markvisst og sýna gott fordæmi. Starfsfólk horfir fyrst og fremst til stjórnenda. Ekki hvað þeir segja, heldur hvað þeir gera.Ef stjórnendur sleppa öryggisfræðslu, læsa ekki tölvum þegar þeir yfirgefa starfsstöðina, nota einföld lykilorð eða fara fram hjá verklagi, senda þeir skýr skilaboð til starfsfólksins um að öryggið skipti ekki máli. Ef þeir gefa öryggismálum tíma á fundum, spyrja gagnrýninna spurninga og eru sjálfir fyrirmyndir í hegðun, þá smitast það út um allt fyrirtækið. Jafnframt þurfa þeir að gera viðbragðsáætlanir og æfa viðbrögð við atvikum, rétt eins og gert er varðandi brunavarnir eða annað rekstrarrof. Þegar upplýsingaöryggi er samþætt nýliðaþjálfun, daglegt verklag, árangursmælingar og stjórnendafundi verður það hluti af menningu fyrirtækisins. Æðstu stjórnendur leggja grunninn að öflugri öryggismenningu. Það þýðir að stjórnendur þurfa að vera sýnilegir talsmenn upplýsingaöryggis og taka sjálfir þátt í fræðslu og æfingum. Þeir þurfa að setja skýrar væntingar til starfsfólks, skapa umhverfi þar sem fólk þorir að tilkynna mistök og tryggja að öryggi sé aldrei fórnað fyrir hraða eða þægindi. Þetta eru ekki tæknilegar ákvarðanir. Þetta eru viðfangsefni leiðtoga. Í stafrænum heimi er traust eitt mikilvægasta samkeppnisforskot fyrirtækja. Traust er ekki sjálfgefið, það er áunnið og því þarf að viðhalda, en því er líka hægt að glata á einni nóttu. Stjórnendur hafa vald til að ákveða hvort upplýsingaöryggi sé raunverulegt forgangsmál eða fallegt orð í stefnu. Með því að setja skýra stefnu, sýna fordæmi og fylgja eftir kröfum, verja þeir ekki bara gögn heldur sambandið við viðskiptavini, starfsfólk og samfélagið allt. Stjórnendur sem fjárfesta í öryggismenningu eru því ekki bara að verja kerfi. Þeir eru að verja framtíð og orðspor fyrirtækisins. Netógnir munu halda áfram að aukast. Spurningin er ekki hvort fyrirtæki verði fyrir öryggisatviki, heldur hvenær og hversu alvarlegt það verður. Upplýsingaöryggi er ekki lengur afmarkað sérsvið heldur sameiginlegt ábyrgðarefni. Það er grunnforsenda nútímarekstrar allra fyrirtækja og stofnana. Stjórnendur verða að fara að setja upplýsingaöryggi á sömu hillu og önnur lykilforgangsmál eins og fjármál, gæði, öryggi starfsfólks og þjónustu við viðskiptavini. Þeir þurfa að leiða með fordæmi og skapa menningu þar sem upplýsingaöryggi er sameiginlegt verkefni allra. Upplýsingaöryggi er spurning um forystu, ekki kostnað. Það er mælikvarði á ábyrgð, framsýni og gæði stjórnunar. Stjórnendur setja tóninn. Og í stafrænum heimi er sá tónn annað hvort skýr og ábyrgur eða dýrkeyptur. Höfundur er sérfræðingur í net- og upplýsingaöryggi hjá netöryggissviði Fjarskiptastofu.
Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir Skoðun
Skoðun Ekki má draga víðtækar ályktanir af veikum gögnum Helga Rósa Másdóttir,Steinunn Þórðadóttir skrifar
Skoðun „Að deila og drottna“ - hugleiðingar miðaldra konu að kvöldlagi Ingibjörg Einarsdóttir skrifar
Skoðun Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir skrifar
Skoðun Hvernig fyrirbyggjum við heimilisleysi eftir meðferð vegna vímuefnaröskunar? Erla Björg Sigurðardóttir skrifar
Skoðun Voru lífeyrisréttindi markvisst tekin af opinberum starfsmönnum og var engin leiðrétting launa? Gunnar Alexander Ólafsson,Sveinn Ólafsson skrifar
Skoðun „Hagræðingar” í Reykjanesbæ Halldóra Fríða Þorvaldssdóttir,Guðný Birna Guðmundsdóttir skrifar
Skoðun Íslenska fánann á ekki að nota til skemmdarverka Ugla Stefanía Kristjönudóttir Jónsdóttir skrifar
Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar
Er ekki komið gott af því að mæta í sumarfrí eins og sími á 2% rafhlöðu? Ingunn Björk Vilhjálmsdóttir Skoðun