Dette kan du lære i denne artikkelen:

  • Sentrale sikringsbegreper og hvorfor virksomheten bør utføre risikoanalyser innen fagfeltet sikring.
  • Viktigheten av å tenke helhetlig om sikring. Beskyttelse av verdier og kritiske funksjoner handler om mer enn “guns, guards and gates”.
  • Viktigheten av ledelse. Sikring og beskyttelse må gis den oppmerksomhet, prioritering og tyngde som er nødvendig, fra toppen av organisasjonen.

Det er i grunnen ganske enkelt. Noen vil ha det du har, og du beskytter deg. Sikringstiltak mot ulike farer har vært sentralt i alle samfunn, i all tid.  For den enkelte eier oppstår ikke faren før disse “noen” har både vilje og evne til å gjennomføre et anslag mot eierens virksomhet. Har slike gjerningsmenn ingen interesse i virksomhetens verdier, kan deres kriminelle evner være så store de bare vil. Risikoen er neglisjerbar. Tilsvarende kommer selv dedikerte angripere ingen vei uten de nødvendige kapasiteter.

 Hva som skal beskyttes varierer, avhengig av hva ulike eiere ser på som viktig. For noen virksomheter kan produksjons- og leveringsevne være det primære, for andre kan det typisk handle om å sikre økonomiske verdier, informasjon, omdømme, eller personell. Uansett, gjennomtenkte prioriteringer må på plass: Alt kan ikke sikres like godt, hele tiden.

Sårbarhet, ikke bare trussel

Trusselen er med andre ord bestemt av hvem som ønsker å oppnå hva, med hvilke midler og med hvilke mål. Men noen ganger er kapasiteter og intensjoner ikke tilstrekkelig til å utnytte sårbarheter i sikringen. Sannsynligheten for at en trussel skal ramme deg og ditt, er derfor bestemt av, for det første, at trusselen faktisk er reell og for det andre, hvor sårbar, alternativt motstandsdyktig, anlegget er dersom trusselen inntrer og angrepet gjennomføres:

Sannsynlighet = trussel x sårbarhet

Risiko relateres ofte til sannsynligheten for at noe skal hende, og konsekvensene dersom det skjer. Angrepsrisikoen kan derfor uttrykkes:

Risiko = trussel x sårbarhet x konsekvens

Fordi handlingen er gjennomført med vilje, gir dette gjerningsmennene mulighet også til å påvirke utfallet (konsekvensene). Valg av tid og sted for aksjonen vil spille inn i forhold til hvem og hvor mange som rammes. Gjerningsmennene kan dessuten introdusere barrierer som hindrer skikkelig respons.

Så sant det ikke foreligger konkrete trusler eller indikasjoner på forestående anslag, er et fokus på sårbarhet å foretrekke. Den enkelte virksomhet “eier” sine egne sårbarheter og har mulighet til å gjøre noe med disse, dersom de identifiseres. Håndtering av trusler, derimot, er krevende. Sårbarhetsanalyser er derfor en svært viktig del av sikringsarbeidet og tilhørende risikovurderinger.

Stegene i en risikovurdering er presentert i figur/tabell CCCC

1. Verdianalyse - Identifiserer hvilke objekter og verdier som bør sikres, hvor og hvorfor.

2. Trusselanalyse - Vurderer trusler (spionasje, tyveri, terrorisme, sabotasje) som kan relateres til sikringsverdige objekter.

3. Sårbarhetsanalyse  - Identifiserer svakheter i eksisterende sikringssystemer som kan utnyttes av ulike gjerningsmenn/trusler.

4. Risikoanalyse - Kombinerer trussel- og sårbarhetsanalysene og estimerer risiko knyttet til ulike trusselscenarier.

5. Kost/nytteanalyse - Vurderer ulike risikovurderende tiltak, mens effektene optimaliseres og kostnader begrenses.

Ledelsesansvar

For enkelte handler sikring og beskyttelse i stor grad om “Guns, Guards, Gates” – med andre ord fysiske, “synlige” tiltak. Slike tiltak er viktige, men bare en del av bildet. For Det Norske Veritas er samspillet mellom individ, teknologi, og organisasjon fundamentalt. Det handler ikke bare om antall kamera, eller hvor disse er plassert. Typisk vil også prosedyrer, trening, vedlikehold, være faktorer som bestemmer hvor effektivt et kameraregime er. Selv små organisatoriske justeringer kan bety mye for sikringen i praksis.

Virksomhetsledere, og andre, må være sitt sikringsansvar bevisst. Effektiv risikovurdering og god risikostyring (sikring, integritet, SHE) er avgjørende for driften av virksomheten. Slik kan virksomheten opprettholde sin konkurransedyktighet og posisjon i forhold til ulike interessenter som kunder, eier og ledere. Et ledelsessystem for sikringsrisiko må følgelig integreres som en naturlig del av virksomhetens øvrige styringsprosesser og ledelsessystem.

Et ledelsessystem for sikring skal være et rammeverk for å sikre at risiko blir identifisert, tiltak definert, implementert og fulgt opp. Roller må være klart definert med ansvar, myndighet og oppgaver og at dette er kommunisert og forstått av den enkelte og av organisasjonen.

Nok er nok

De færreste av oss lever direkte farlig, men mange lever mer sårbart enn vi liker. Terrorisme, industrispionasje, ran, innbrudd, cyber-kriger, overfall og organisert kriminalitet. Det er ikke rart at risikobevisstheten knyttet til overlagte trusler øker. I bunn og grunn handler moderne sikring om at nok er nok, med avtagende toleranse i samfunnet mot innbrudd og kriminalitet. Men det handler også om at kostnadseffektiv innsats fordrer samstemmighet mellom trusler og tiltak – med andre ord “nok sikring”. 

 Risikobasert sikring er både et resultat av og en løsning for slike trender.

Safety versus security

Virksomheter står overfor både menneskeskapte trusler og hendelser som forårsakes av naturen. Av menneskeskapte hendelser er det vanlig å skille mellom villede ondsinnede handlinger (engelsk: security norsk: sikring) og ikke-villede handlinger (engelsk: safety, norsk: trygghet).

DNVs analyse av sikringsledelse:

·         vurderer styrker og svakheter ved virksomhetens ledelsessystem for sikring

·         vurderer sikring i henhold til relevante sikringsstandarder og anerkjent praksis

·         identifiserer konkrete forbedringstiltak

·         øker oppmerksomheten omkring sikringsutfordringer og bidrar til bedret sikringskultur

·         Gir en uavhengig vurdering av sikringstiltak.

DNVs sårbarhetsanalyse

·         Formålet med sikringsvurderinger er å identifisere sikringsrisiko, som grunnlag for kostnadseffektive tiltak og reetablering av akseptable risikonivåer.

·         Benytter velprøvde og anerkjente prinsipper på en strukturert og kvalifisert måte for å optimalisere sikrings- og kontrolltiltak.

·         Trusselspesifikke scenarioer gjør det mulig å analysere eksisterende kontroller (organisatoriske og fysiske), samt kartlegge sårbarheter ved virksomheten.

Dr. Morten Bremer Mærli, sjefspesialist, Det Norske Veritas