måndag 11 juni 2018

Informationssäkerhetskultur

Informationssäkerhetskultur
- går det att mäta och hur gör man?

Alla säkerhetsåtgärder i världen kan inte skydda dej om inte alla använder dem. Det betyder att alla måste tycka de är nödvändiga, hanterbara, och relevanta just för dej i det du gör just nu. Vi behöver ett gemensam synsätt och en kultur som bygger på säkerhet.

En god säkerhetskultur är en förutsättning för informationssäkerhet.

Informationssäkerhet handlar i hög grad om organisationers förmåga att skapa en kultur med ett högt säkerhetsmedvetande hos ledning och medarbetare. Det finns dock stora behov av kunskap om hur en gynnsam kultur skapas och upprätthålls.

Vad är säkerhetskultur? 

Det finns många definitioner av säkerhetskultur så det kan finnas många svar på den frågan och det kan bli väldigt abstrakt och komplext eftersom vi måste se det ur flera olika perspektiv (individ, organisation, nationellt).

Exempel på def. av säkerhetskultur:

  • Säkerhetskultur ”är en uppsättning av gemensamma grundläggande antaganden som en grupp lärt sig när den löst problem externt/internt, och som har fungerat bra nog för att anses gällande och lärs därför ut till nya medlemmar som det rätta sättet att uppfatta, tänka och känna i förhållande till dessa problem. (Schein, 1992). 
  • Safety Culture “is the product of individual and group values, attitudes, competencies and patterns of behaviour that determine commitment to, and the style and proficiency of, an organisation’s health and safety management.” (Reason, 1997). 
  • Safety Culture “is the way safety is done around here” (Eurocontrol, 2007) .

Min definition av säkerhetskultur.
Säkerhetskultur handlar om en organisations gemensamma sätt att tänka och agera i förhållande till risk och säkerhet, dvs. "hur en organisation prioriterar och faktiskt arbetar med risker och säkerhet kopplat till sin verksamhet".

Sju säkerhetskulturområden
  1. Rapporterande kultur 
    1. Att man vet vad och hur 
    2. Att man uppmuntras och vågar 
    3. Att man får återkoppling 
  2. Rättvis kultur 
    1. Rättvis behandling vid misstag utan syndabockstänkande 
    2. Tydlig gräns mellan acceptabla och oacceptabla fel
  3. Lärande kultur 
    1. Lära av egna och andras fel, misstag och erfarenheter 
    2. Ständiga förbättringar och anpassning till förändringar 
    3. Uppföljning och återkoppling av säkerhetsarbetet
  4. Säkerhetsengagemang 
    1. Förståelse och insikt om risker och informationssäkerhetsfrågor 
    2. Prioritering av säkerhet och syn på avvägningar 
    3. Personalens delaktighet i säkerhetsarbetet 
      1. Ledningens engagemang (är särskilt viktigt)
        1. Prioriteras säkerhet även vid ”svåra tider”? 
        2. Undviks motstridiga budskap? 
        3. Involveras personalen i säkerhetsarbetet? 
        4. Skapas tillit hos personalen kring säkerhet?
  5. Kommunikation 
    1. Tillgång till och spridning av information 
    2. Diskussion och samarbete internt 
    3. Informationsutbyte och samverkan externt
  6. Resurser och kompetens 
    1. Personal, tid och utrustning 
    2. Behörigheter, utbildning och träning 
  7. Systematiskt säkerhetsarbete
    1. Struktur, systematik, spårbarhet 
    2. Proaktivt/reaktivt arbete 
    3. Analyser och åtgärder 
    4. Ansvar, befogenheter och roller

Räcker inte ett LIS?

Det borde väl räcka med att ha ett LIS kan man tycka, och det tror många ledningsgrupper idag. 

Men att ha en god säkerhetskultur är en förutsättning för ett effektivt LIS, att bara ha ett formellt LIS är inte tillräckligt. Det leder inte automatiskt till en god säkerhetskultur. Men ett effektivt LIS gynnar utveckling av en god informationssäkerhetskultur.