Att bedöma risk och sårbarhet

Att bedöma risk och sårbarhet i mänskliga system

Säkerhetsläget i vår omgivning försämras och de organisationer i vårt land som hanterar känslig information har all anledning att skydda sig ordentligt. I ett samhälle med många komplexa samarbeten och aktörer berör dessa frågor fler än någonsin. Borta är den tid då de som befattade sig med rikets innersta hemligheter samtliga var i statlig tjänst och rymdes på en överskådlig lista. Idag finns därför behov av säkerhetsklassade roller bland såväl privata företag som kommuner och myndigheter. Med outsourcing och underleverantörer blir det många som behöver granskas närmare.

Att bedöma risk och sårbarhet

När det gäller att bedöma risk och sårbarhet hos individer är det ofta till individens handel och vandel tanken går när säkerhet kommer på tal. Men det är inte som man kanske föreställer sig en målmedveten infiltrerande agent eller mullvad som är typfallet, utan snarare en utveckling över tid där någon genom sitt mående eller genom påverkan utifrån blir alltmer sårbar tills en överträdelse äger rum. Det är därför viktigt att verkligen förstå individen på djupet, men även organisationen, för att se hur personlighet och kontext samverkar när det gäller risk och sårbarhet.

Förutom lojala och pålitliga medarbetare behöver vi också säkra system. Och då menar jag inte i första hand digitala eller fysiska system, utan mänskliga. Studier av säkerhetsincidenter visar att det ofta är den mänskliga faktorn som är den svaga punkten. Antingen genom att det slarvas med rutiner eller genom att någon med avsikt bryter mot reglerna för egen vinning av något slag. Och detta sker inte i ett vakuum. Många organisationer har goda och genomtänkta regelverk, teknik och säkerhetsrutiner, medan kulturen ofta är eftersatt. Man kan tala om en säkerhetskultur.

En god säkerhetskultur kräver tillit

En god säkerhetskultur präglas främst av prosocialt beteende – att vi handlar på sätt som gynnar andra, tar ansvar för helheten, säger som det är och gör som vi säger. Allt detta vilar på tillit. Om vi ska kunna lyfta saker vi tycker är konstiga, ifrågasätta rutiner som inte fungerar eller ventilera oro för andras agerande så behöver vi känna att det finns äkta omtanke för att det inte ska upplevas som en skvallrig angiverikultur där vi försöker sätta dit och straffa varandra. Tillit behövs också för att hantera konflikter och missnöje innan det gått för långt. En högt uppsatt chef inom svensk säkerhetstjänst sade en gång till mig: ”Här har vi inte råd med att någon lämnar oss i bitterhet.”

Man kan tänka att tillit och säkerhetstänkande hänger samman och samverkar på ett betydelsefullt sätt. Som diagrammet nedan visar så är det bara när både tillit och säkerhetstänkande är högt som en verkligt robust organisation kan uppnås.

Den typen av insatser som bidrar till att tilliten ökar i en organisation vilar vanligen på ledarskapet och på HR-funktionen. Det är inte så konstigt eftersom tillit vanligen förknippas med effektiva och välfungerande team och samarbeten. Men som uppställningen ovan visar är det alltså angeläget även för säkerhetsansvariga att kroka arm och stötta detta viktiga arbete. Dels att lyfta in ett säkerhetsperspektiv på dålig arbetsmiljö och missnöje, dels att motta rapporter om bristande regelefterlevnad med mild fasthet och lärande nyfikenhet.

Den goda nyheten är att det finns så mycket annat att vinna på att arbeta för att öka tilliten i våra organisationer, utöver säkerhetsrisker. Forskningen visar ju så tydligt att det är tillit och psykologisk trygghet som får oss att prestera och trivas som bäst.

Läs mer om psykologisk trygghet här