God sikkerhetskultur eller åpne dører?

Fjeldheim peker på det at fiskeriminister Per Sandberg måtte gå av som følge av sikkerhetsbrudd, er et eksempel på hvor viktig bevissthet rundt dette er i dag.

– Denne saken illustrerer det vi ofte ser – en dårlig sikkerhetskultur. Bruddene til fiskeriministeren er nemlig ikke unike. Sikkerhet blir ofte tatt for lett på. Det bør ha sin plass i ledergruppa i bedriften, ikke som et sidespor til alt det andre man gjør, eller en enhet innen HR eller sikkerhetsavdelingen.

– Saken belyser også behovet for implementering av prosedyreverk. Det er nok mange ledere og nøkkelpersoner med tilgang til sensitiv informasjon som har gjort lignende overtramp. Jeg tror dette er vanskelig å endre om vi ikke øker kunnskapen og forståelsen rundt dette. Det er viktig å tørre å adressere risikoen og konsekvensene. Sikkerhet bør få en mer helhetlig rolle og plass i lederforumet i større grad enn det som er tilfellet i mange bedrifter i dag.

– Med sikkerhet mener man gjerne en reell eller oppfattet tilstand som innebærer fravær av uønskede hendelser, frykt eller fare. Når jeg nå snakker om sikkerhet, er det basert på det engelske ordet «security». Altså risikohåndtering forbundet med tilsiktede uønskede handlinger. Som leder må du gjøre en vurdering. Hva vil det koste din bedrift om sensitiv informasjon kom på avveie? Vet du det? Har du tenkt tanken på hva konsekvensene kan være?

– Jeg opplever at det er veldig store forskjeller på selskapene når det gjelder hvordan de jobber med sikkerhet, både med tanke på hvor systematisk selskapene jobber og hvilken kultur de har etablert for å ivareta sikkerheten. Vi har de som virkelig har satt dette på agendaen og aktivt jobber helhetlig, og de som har få eller ingen tiltak. NSM, PST og Forsvarets Etterretningstjeneneste belyser alle i sine 2018-rapporter et økt trusselbilde mot norske virksomheter. Cyberangrep får med rette mye oppmerksomhet, men vi må ikke glemme de andre tilnærmingene.

Fjeldheim understreker at han er skremt av den utbredte silotekningen når det gjelder sikkerhet og risikoforståelse.

– Norske sikkerhetsmyndigheter kommer årlig ut med sine rapporter og vurderinger. Leser vi disse, vil vi få en forståelse av alvoret i trusselbildet.  Silofokus på sikkerhet er en risiko i seg selv. Vi kjenner til de fire områdene det snakkes om når det gjelder sikkerhet: informasjonssikkerhet, personellsikkerhet, fysisk sikring og cybersikkerhet. Det er lett å sette på skylappene og bare fokusere på den økte cybertrusselen. Det er her vi investerer i sikkerhetstiltak og kompetanseheving, og det er bra. Utviklingen går fort og det dukker stadig opp nye sikkerhetsbrudd på dette området. Men verdens beste sikkerhetstiltak mot cyberangrep har liten effekt dersom dørene vi fysisk går gjennom er av «papp» eller hvis vi oppbevarer og deler informasjon uten noe forhold til hva vi deler til hvem og hvordan informasjonen er gradert.

– Sikkerhetsarbeid handler om å få mennesker, teknologi og organisasjonen til å fungere sammen. Sikkerhetskulturen handler om den etablerte praksisen i selskapet – om de ansattes adferd. Sikkerhetskultur er ikke annet enn den kulturen virksomheten lever i. Dette betyr at sikkerhet må være noe vi «driver med» på lik linje som andre aktiviteter. Det hjelper lite å prate om det, hvis det ikke er implementert i vår daglige atferd og holdninger.

– Uttrykket «vi er ikke sterkere enn vårt svakeste ledd» gjelder definitivt for sikkerhetsarbeidet i bedrifter. Når vi snakker om sikkerhet i organisasjoner, mener jeg vi må ha et bredere perspektiv enn mange har i dag. Menneskene, hver og en av oss og oss alle samlet, er det svakeste leddet. Det gjør det helt nødvendig å få sikkerhet inn i organisasjonen som en del av kulturen. For å ha en god sikkerhetskultur mener jeg det handler om bevisstgjøring og kompetanse, samt system og struktur for å fange opp sikkerhetsrelaterte hendelser. En tilnærming vi bruker er, sammen med økt kunnskap, å kjøre scenarier og tester av virksomhetens sikkerhet, da også av kulturen.

– En god og morsom tilnærming er å kjøre fokusperioder på ulike trusler for virksomheten. Vi starter fokusperioden med en kunnskapsboost, etablerer gode prosedyrer for ulike håndteringer sammen med rapporteringsrutiner, for så å teste ut hvordan dette setter seg i kulturen. Vi har gjennomført flere slike tester, og alltid med mandat fra ledelsen. Vi definerer et oppdrag og lager en plan for tilnærmingen før vi «slår til».

– Ved en test vi gjorde var jeg sammen med administrerende direktør og en avdelingsleder på et møterom, for å overvåke «sikkerhetsbruddet». Vi fikk melding om at «oppdraget har startet» og satt og ventet i spenning. Da vi satt der og ventet. tikket det inn bilder fra administrerende direktør sitt kontor. Jeg skal love deg han ble lang i maska. Vedkommende som befant seg på hans kontor, hadde blitt geleidet av en ansatt som hadde fulgt «min ressurs» helt inn på kontoret og latt vedkommende stå og vente mens han hentet en kopp kaffe. Hos en annen organisasjon skulle vi belyse sårbarhet på fysisk tilgang til laptop og arbeidsmaskiner i et kontorlandskap. Ca. 50 prosent fikk byttet skjermbilde. Andre oppdrag vi har gjort for å få sikkerhet på agendaen er scenariobaserte kriseøvelser. Spillet har vært virkelighetsnært og vi har spilt inn myndighetspersonell og journalister.

– Det vi ser er at vi får belyst de gode tiltak og prosedyrene som er etablert, samt identifisert svakheter og behov for tiltak og utvikling. Man lærer ofte mye av «å ha kjørt i grøfta», og da er det best å ha gjort dette under kontrollerte forhold som en slik øvelse er. Kundene sitter igjen med opplevelser som blir historier, og man lærer og husker dette på en helt annen måte, noe som gir en utrolig god effekt. De som blir testet, sitter igjen med en helt annen læring og erfaring i etterkant, og en veldig god forankring. Rapportering er en viktig del av prosessen. Vi ønsker for eksempel i en fokusperiode at de ansatte skal rapportere inn for eksempel merkelige tilnærminger av folk som er uvanlig nysgjerrige på bedriftens «hemmeligheter». Når vi gjør en test kan være ukjent, men isolert i en tidsperiode. Her vil fokuset på det aktuelle temaet være mer fremst i pannebrasken hos folk, og den sikkerhetsansvarlige får inn rapporter på mer enn vår testing.

Fjeldheim understreker at det er viktig for en virksomhet å ha en planmessig og systematisk tilnærming til sikkerhet. Dette betyr i praksis at man først og fremst må gjøre systematisk vurdering av sikkerhetsrisikoen man er utsatt for, mener han.

– I sikkerhetsrisikovurderingen må man vurdere de verdier bedriften har og hvor kritisk det er om noen av disse skulle komme på avveie, bli ødelagt eller på annen måte satt ut av funksjon. Videre vurderes det hvilke trusler bedriften er utsatt for – finnes det «noen» der ute som kan ha interesse av å skade eller stjele verdiene våre? Til slutt må man vurdere hvor sårbar man er, om de mottiltakene som er satt i verk, er tilstrekkelige til å hindre at noen prøver seg eller om det er ytterligere tiltak som bør implementeres. Dette illustreres i Risikotrekanten. Den systematiske tilnærmingen betyr videre at tiltakene må settes ut i livet og man må ha rutiner for å følge opp og sjekke om tiltakene virker slik som tenkt eller om det er svakheter som bør rettes opp. Det er spesielt i dette bildet at vi kjører våre øvelser for å teste i hvilken grad «det svakeste ledd» – sikkerhetskulturen – er en sikkerhetsrisiko.

– En helhetlig tankegang der de fire områdene informasjonssikkerhet, personellsikkerhet, fysisk sikring og cybersikkerhet faktisk samhandler, vil gi økt kunnskap, forståelse og ferdigheter. Dette må settes i system, og sammen med gode prosedyrer er mye gjort for å skape en god sikkerhetskultur. Ledelsen må sette dette på agendaen og være villige til å investere i sikkerhet som en del av kulturen. Vanene våre er en sikkerhetsrisiko, derfor vil økt kunnskap og forståelse, sammen med gode prosedyrer implementert som en del av kulturen, redusere risikoen bedriftene står ovenfor, avslutter Fjeldheim.

Tekst: Inger Lise Kontochristos  Foto: Hilde Brevig