Er din virksomhet bekymret for innsidetrusselen ved nedbemanning?

Norske virksomheter har nedbemannet bredt det siste tiåret, men hvordan tilnærmer norske virksomheter seg nedbemanningsprosesser med tanke på innsidetrusselen?

Terje Benjaminsen, NTNU

Terje Benjaminsen har tatt en mastergrad i informasjonssikkerhetsledelse ved NTNU.

 

 

 

 

 

 

 

 

 

 

Tall fra Kriminalitets- og sikkerhetsundersøkelsen i Norge fra 2015 (KRISNO 2015) viser blant annet at 28 % av virksomhetene har avdekket en utro tjener blant sine ansatte, hvorav kun 38 % anmeldte forholdet.

Personellsikkerhet

Sikkerhet deles gjerne inn i tre hovedområder; fysisk sikkerhet, personellsikkerhet og informasjonssikkerhet. Personellsikkerhet ivaretar innsidetrusselen (også kalt utro tjener), og må ikke forveksles med helse, miljø og sikkerhet (HMS). I forskrift om personellsikkerhet defineres personellsikkerhet som; «tiltak, handlinger og vurderinger for å hindre at personer som vil kunne utgjøre en sikkerhetsrisiko, plasseres eller er plassert slik at risikoen aktualiseres». En slik sikkerhetsrisiko kan aktualiseres gjennom en tilsiktet eller en utilsiktet handling. En tilsiktet utro tjener kan være planlagt, frivillig eller rekruttert. Den planlagte kan søke jobb i en virksomhet i den hensikt å gjennomføre et innsideangrep. Den frivillige hadde opprinnelig ikke planlagt et innsideangrep, men velger på et tidspunkt å gjennomføre det. Den rekrutterte kan ha en sårbarhet eller en overbevisning som blir utnyttet av en ekstern aktør. En utilsiktet utro tjener kan eksempelvis være et resultat av uvitenhet, sårbarheter eller uhell.

Ledelse

Resultater fra intervju med fageksperter i ti norske store virksomheter i min masteroppgave, viser at ledelse er et sentralt element i håndteringen av innsidetrusselen ved nedbemanning. Det være seg toppledere i planleggingsfasen og mellomledere i utførelsesfasen. Ledere har ansvaret for at nedbemanningen oppleves som god og rettferdig, i tillegg til at de er i posisjon til å oppdage uønsket atferdsendring. En utfordring er at lederne kanskje ikke er klar over at de kan ha et slikt ansvar med tanke på innsidetrusselen. Det er ledere som kjenner de ansatte, og tar beslutninger om sikkerhetsstyring, og er sentrale aktører i å bygge en sunn sikkerhetskultur. Gitt denne viktige rollen synes jeg at det er overraskende lavt nivå på utdanning og opplæring rettet mot personellsikkerhetsledelse og administrativ mellomledelse. Jeg vil derfor sterkt oppfordre til at personellsikkerhet blir et naturlig tema i fremtidens lederopplæring. Blant annet krever de oppsagte og de gjenværende ansatte forskjellig typer lederadferd under og etter en nedbemanningsprosess. Som et utgangspunkt for personellsikkerhet mener jeg videre at en virksomhet bør etablere formelle retningslinjer, prosedyrer, og helhetlig risikostyring, som inkluderer innsidetrusselen både ved og mellom nedbemanninger. Verktøykassen ledere har behov for bør inneholde både sosiale og tekniske tiltak, som anvendes fornuftig gjennom hele arbeidsforholdet. Denne verktøykassen må selvsagt anvendes i henhold til lover og regler, slik som de nye personvernreglene som blir gjeldende i 2018.

Tiltak gjennom hele arbeidsforholdet

Før ansettelse er det viktig med en grundig bakgrunnssjekk. Dette kan innebære kontroll av CV, vitnemål og referanser, som da inkluderer personellsikkerhet. Under arbeidsforholdet skal man oppdage og reagere på en uønsket hendelse eller atferdsendring. Dette kan håndteres ved en kombinasjon av tekniske og sosiale tiltak, slik som anomalideteksjon på informasjonssystemene, autorisasjonssamtale, adgangskontroll og varslingskanal for kritikkverdige forhold. Etter arbeidsforholdet, eller ved avgang, bør det gjennomføres en formell avgangsrunde. Dette kan inkludere å fjerne alle fysiske og logiske tilganger. Innlevering av utstyr og informasjon. Påminnelse om eventuelle taushetserklæringer og klausuler. Støtte i form av eksempelvis sluttpakke og karriererådgiving, slik at den som må slutte opplever prosessen og avgjørelsen på en så god måte som mulig. NSR, KRIPOS, PST og Nasjonal Sikkerhetsmyndighet jobber sammen for å utarbeide en veileder for det som skjer i tiden før, under og ikke minst etter et arbeidsforhold.

Aktuelle saker

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss