Sikkerhetsledelse – hjemmefra!
Roar Thon er fagdirektør ved Nasjonal sikkerhetsmyndighet.
SYNSPUNKT. Mye tyder på at vi ikke kommer tilbake til de vanlige arbeidsrutinene slik de var før pandemien. Hjemmekontoret i en eller annen form, er kommet for å bli. Det medfører ikke bare nye digitale sikkerhetsutfordringer, men ivaretakelsen av det menneskelige elementet i sikkerhetsarbeidet får også nye arbeidsvilkår.
Advarslene om de digitale sikkerhetsutfordringene knyttet til den raske overgangen til hjemmekontor har vært mange. At situasjonen har blitt utnyttet av trusselaktører har både Nasjonal sikkerhetsmyndighet (NSM) og andre rapportert om det siste året.
Men selv garvede sikkerhetsfolk må ta innover seg at den økte risikoen var en liten pris å betale. Kostnadene ved å stenge ned samfunnet, uten å ta i bruk teknologien som gjorde det mulig å holde hjulene i gang fra de tusen kjøkkenbord, ville vært enorme.
Samtidig øker trusselaktørenes digitale aktivitet mot norske virksomheter, uavhengig av sektor, bransje og størrelse.
De utnytter enhver mulighet og innganger, og siden mars 2020 har de fått betydelige flere av dem. Ansvaret for virksomhetens beskyttelse av egne verdier, kan ikke tilfeldig overlates til den enkelte medarbeider, selv om verdiene nå håndteres i deres egne hjem.
Når virksomheter vurderer hvor og hvordan medarbeidere skal arbeide fremover, er det på sin plass å minne om at sikkerhet ikke bare et spørsmål om teknologiske løsninger. Det handler i stor grad om mennesker. Medarbeidernes adferd, forhold til rutiner og regler, har stor betydning for sikkerheten. Det er uavhengig om hvorvidt den enkelte medarbeider arbeider hjemmefra eller fra en kontorplass hos arbeidsgiver.
Men dette handler ikke bare om sikkerhet. Å vedlikeholde og forbedre en organisasjonskultur som nå har fått sine medarbeidere spredt rundt omkring i de tusen hjem, er en øvelse få har erfaring med. Det er få som er uenige i at medarbeidere er med på å forme virksomhetens kultur, verdier og holdninger. Det samme gjelder for virksomhetens kultur når det gjelder sikkerhet.
Ansvaret for virksomhetens beskyttelse av egne verdier, kan ikke tilfeldig overlates til den enkelte medarbeider, selv om verdiene nå håndteres i deres egne hjem
Kontrollmulighetene endres
Risikoen øker og den enkeltes forhold til sikkerhet får enda større betydning når kontrollmulighetene endres og muligheten for daglig oppfølging endrer form. Når nye medarbeidere det siste året har sin første arbeidsdag i virksomheten ved digitalt fremmøte, setter det enda større krav til hvordan de gis kunnskap og oppfølging over tid. Dette kan ikke løses ved teknologiske tiltak alene. Gode rutiner for rekruttering av nye medarbeidere er i seg selv ikke nok til å redusere kort- og langsiktig sikkerhetsrisiko.
I en nylig undersøkelse fra cybersikkerhetsselskapet KnowBe4 oppgir 24 prosent av 408.929 spurte arbeidstakere på verdensbasis, at de ikke vet hvordan de skal håndtere arbeidsgivers sensitive informasjon og verdier. Digital eller analog onboarding må ta høyde for å tilføre nye medarbeidere den nødvendige grad av kunnskap til både å forstå og håndtere verdier på en måte som gjør at sikkerheten styrkes. Dette må gjøres uavhengig av hvor den enkelte befinner seg.
Men det er ikke bare nye medarbeidere som må følges opp. En betrodd medarbeider med åtte år i virksomheten, kan representere en høyere risiko og et større skadepotensiale. Viktige og godt etablerte sikkerhetsrutiner fra kontoret blir ikke automatisk tatt med over til hjemmekontoret selv om den enkelte har mye erfaring.
Gode etablerte sikkerhetsrutiner i ett skreddersydd kontormiljø, er ikke like overførbare, eller gjennomførbare, når de overføres til medarbeidernes private hjem.
Virksomheter underlagt sikkerhetsloven er kjent med begrepet daglig sikkerhetsmessig ledelse. Hvordan leder og følger man opp medarbeidere som er gitt tilgang til virksomhetens aller viktigste verdier? Hvordan følger man opp medarbeiderens negative endring i motivasjon og lojalitet over tid. En utvikling som kan bli til en betydelig sikkerhetsrisiko. Dette er viktig. Uavhengig om hvorvidt en virksomhet er underlagt sikkerhetsloven eller ikke.
Ledere må lede – også på sikkerhet
Mennesker, teknologi og prosesser er sentrale elementer i alt sikkerhetsarbeid. Kombinasjonen av de tre elementene bør også benyttes for å møte den nye arbeidshverdagen. Sikkerhetsstyring, kunnskapsoverføring og oppfølging må ta høyde for de arbeidsformer som virksomhetene og medarbeiderne velger etter pandemien.
Hvordan dette bør gjøres bør ikke løses av teknologer og sikkerhetsfolk alene. For å bruke et ordtak innen sikkerhetsbransjen:
«Sikkerhet er alt for viktig til å overlates til sikkerhetsfolk. Men det bør heller ikke overlates til ledere som ikke bryr seg»
Virksomheter og virksomhetenes ledere må møte den nye situasjonen med nye tanker og metoder om hvordan de skal lede og utøve sikkerhetsmessig ledelse. De fleste virksomheter trenger å endre sine regler og rutiner for å ta høyde for risikoen knyttet til de nye arbeidsformene etter pandemien.
Om det ikke gjøres, utsetter man virksomheten og medarbeiderne for en uakseptabel høy risiko.