Personellsikkerhet – en glemt del av sikkerhetsarbeidet?

| minutter å lese

Virksomheter blir generelt stadig bedre til å iverksette fysiske og tekniske tiltak for å forhindre at utenforstående får tilgang til egne verdier. Når disse mulighetene stenges utenfra, er det naturlig at fremmede makter og kriminelle nettverk heller vil prøve innenfra.

Hvordan beskytte seg mot innsidevirksomhet der utenforstående gjennom bruk av innsidere oppnår tilgang til verdifull informasjon?

Formålet her er å beskrive noen tiltak for hvordan du kan ivareta personellsikkerheten i din virksomhet, og dermed forhindre at informasjon kommer på avveie som følge av kompromitterende handlinger i egen organisasjon.

1. Anerkjenn trusselen

I august 2020 ble en person ansatt i Det Norske Veritas siktet for å ha overlevert informasjon som kan skade norske sikkerhetsinteresser til en fremmed stat. Denne hendelsen viser at innsidervirksomhet også utgjør en høyst reell risiko i Norge.

Det er viktig at enhver virksomhet anerkjenner at det faktisk foreligger en slik risiko og at egen virksomhet kan bli utsatt for innsidevirksomhet og utro tjenere.

2. Personellsikkerhet

De som er kjent med begrepet personellsikkerhet har ofte bakgrunn fra Forsvaret eller fra andre stillinger hvor de har hatt behov for sikkerhetsklarering. Det er viktig at virksomheter som ikke jobber med skjermingsverdig informasjon er klar over at de er like utsatt for innsidere/utro tjenere og bør prioritere risikoreduserende arbeid mot dette. Absolutt alle virksomheter har informasjon som kan være verdifull for andre.

3. Utarbeide tiltak før, under og etter arbeidsforholdet.

En bakgrunnssjekk ved ansettelse vil føre til at dere vet noe om personen som ansettes, men dette tiltaket ivaretar ikke personellsikkerhet alene. Det er viktig å implementere tiltak som berører hele arbeidsforholdet, både før ansettelse, under ansettelsesperioden og hvordan virksomheten følger opp ansatte etter levert oppsigelse.

Husk at det til syvende og sist er ledere som skal beslutte hvor mye tid og ressurser som kan brukes på arbeidet. Involver ledelsen i arbeidet og snakk om hvorfor det er viktig å jobbe med dette. En tilnærming kan være å avholde workshops hvor man snakker seg gjennom ulike risikoscenarioer som omhandler hvordan uvedkommende kan få tilgang til verdiene. Slike workshops kan fremme både bevissthet, kunnskap og interesse rundt viktigheten av å prioritere sikkerhet rundt de ansatte.

4. Sikkerhetsopplæring

For mange vil det kanskje være nytt å tenke sikkerhet i sin arbeidshverdag. Bruk tid på å snakke om sikkerhet med de ansatte, og gjør det til en selvfølgelig del av hverdagen. Bevisstgjøring, opplæring og god sikkerhetskultur er viktige faktorer som vil være med på å gjøre de ansatte i stand til å ivareta sikkerheten ved å følge sikkerhetsregler, melde fra om avvik osv. Snakk åpent om sikkerhet og gjør det til et fast punkt på møter. Et viktig poeng er også å tilpasse opplæringen der det er mulig.

5. Sikkerhetskultur og rapportering

I en god sikkerhetskultur vil det være rom for å si ifra til en kollega om at vedkommende har glemt å ta av seg adgangskortet sitt utenfor kontorets lokaler, eller at sjefen har glemt å låse skjermen når vedkommende gikk for å hente kaffe uten at personene det gjelder reagerer negativt. Hvordan kan din virksomhet bygge en god sikkerhetskultur?

6. Rapporteringskultur

For at ansatte skal kunne melde fra om sikkerhetsbrudd, mistenkelig aktivitet eller annet av sikkerhetsmessig betydning, har virksomheten behov for et effektivt system for rapportering. Man er videre avhengig av at de ansatte faktisk bruker systemet slik det er tiltenkt. Det må derfor prioriteres ressurser på opplæring og gode veiledninger på hva som bør meldes inn. Det bør oppfordres til å ha lav terskel for å rapportere, da det kan være vanskelig for den enkelte å vurdere viktigheten av observasjoner.

Det anbefales å jobbe for å skape en kultur der de ansatte kan formidle synspunkter, melde avvik og foreslå forbedringer, og der ledelsen oppfordrer og legger til rette for det. I en slik kultur må det også være rom for å fortelle om egne feil uten at det blir sanksjonert. En slik kultur er gull verdt for en virksomhet som er opptatt av sikkerhet.

Sett i gang!

Så, hvordan kan du komme i gang med personellsikkerhetsarbeidet i din virksomhet? Som nevnt innledningsvis har din virksomhet kommet i gang bare ved å erkjenne innsidervirksomhet/utro tjenere som en reell trussel.

Kall inn til workshops, vurder hvilke sikkerhetstiltak som kan være effektive i din virksomhet og gjør personellsikkerhet til en selvfølgelig del av sikkerhetsarbeidet!

Innlegget ble først publisert på Computerworld 8. februar 2022.

Forfatter er tidligere ansatt i Sopra Steria Vibeke Ekre.

Kontaktperson er Jørgen Rørvik

Search

Se alle blogginnleggene våre