17. Gammeldags tenkning i moderne organisasjoner?

Størrelse: px
Begynne med side:

Download "17. Gammeldags tenkning i moderne organisasjoner?"

Transkript

1 17. Gammeldags tenkning i moderne organisasjoner? Om IKT-sikkerhet i kunnskapsorganisasjoner Eirik Albrechtsen Institutt for industriell økonomi og teknologiledelse, NTNU Tor Olav Grøtan SINTEF Innledning IKT-sikkerhet er ikke er et rent teknologisk fagfelt. Ivaretakelse av menneskelige, administrative og organisatoriske aspekter er nødvendig for å sikre en helhetlig og meningsfull tilnærming til sikkerhet ved anvendelse og nyttiggjøring av IKTsystemer. Artikkelen er derfor skrevet med et organisatorisk fokus og utgangspunkt. Hensikten er å reise og utdype følgende spørsmål: Er dagens tradisjonelle tilnærming til IKT-sikkerhet hensiktsmessig for dagens og morgendagens moderne, kunnskapsintensive, nettverksorienterte og virtuelle organisasjoner? Fagområdet vi går inn i, kalles vekselvis datasikkerhet, informasjonssikkerhet, IT-sikkerhet og IKT-sikkerhet. Vi vil her benytte oss av betegnelsen IKT-sikkerhet 1. Fagområdet betegnes oftest som security til forskjell fra safety. Det er 1 ISO standarden Information technolgy Code of practice for information security management definerer IKT-sikkerhet (informasjonssikkerhet) som beskyttelse av informasjons konfidensialitet, integritet og tilgjengelighet. Herunder beskyttelse av IKT-systemer og informasjon både i og utenfor IKT-systemene. 335

2 17. Gammeldags tenkning i moderne organisasjoner? vanskelig å skille security-begrepet klart fra safety-begrepet, men de har ulike tyngdepunkt. Security forbindes med beskyttelse mot tilsiktede og ondsinnete handlinger, mens safety forbindes med beskyttelse mot ulykker, feilhandlinger og teknisk svikt. IKT-sikkerhet har tradisjonelt fokusert på tilsiktede, ondsinnete handlinger, f.eks. hacking, noe som reflekteres i den mest benyttete engelske betegnelsen på fagområdet: information security. Vi har i denne teksten tolket IKT-sikkerhet som både en security og safety utfordring. Det er en konseptuell forskjell mellom data, informasjon og kunnskap. Tidligere snakket man om databehandling, nå snakkes det heller om f.eks. kunnskapsdeling. Dette har sammenheng med at det stadig forventes mer av IKT. Vår påstand og vårt utgangspunkt er at fagfeltets dominante logikk og rådende paradigmer ble født i og fremdeles befinner seg i en datakontekst. Å bringe det over i en informasjonskontekst krever mer enn å skifte navn fra datasikkerhet til informasjonssikkerhet. Overgangen til en kunnskapskontekst er enda mer dramatisk og krevende. En eventuell kunnskapssikkerhet vil bevege seg inn på områder som tradisjonelt har blitt belyst gjennom begreper som f.eks. brukervennlighet og funksjonalitet. Teksten er bygd opp på følgende måte: I neste kapittel vil vi beskrive hva vi legger i begrepet kunnskapsorganisasjoner. Deretter beskrives IKT-sårbarhet på tre nivåer relatert til 1) IKT som generelt verktøy, 2) «business automation», og 3) hvordan takle det uventede. Vi argumenterer for at virksomheter befinner seg i en skjør tilstand hvor små feil kan føre til store, uønskede hendelser. Videre beskrives hvordan fagfeltet tradisjonelt har håndtert trusler og sårbarheter. Med utgangspunkt i den tradisjonelle tilnærmingen og de tre nivåene av sårbarhet drøftes mulige svakheter og utfordringer, samt mulige løsninger for å kunne håndtere IKT-sårbarhet i kunnskapsorganisasjoner. Kapittelet konkluderer med at det er behov for at fagområdet IKT-sikkerhet åpner opp for nye perspektiver på organisasjon og ledelse, f.eks. relatert til dynamiske, kunnskapsintensive organisasjoner, organisasjoner som kultur og organisasjoner bestående av ulike, ressurssterke mennesker. Kunnskapsorganisasjoner Mange uttrykk blir benyttet for å beskrive dagens og morgendagens IKT-baserte organisasjoner. For å nevne noen: kunnskaps-, kunnskapsintensive, kunnskapsavhengige, moderne, fremtidige, virtuelle og imaginære organisasjoner. De fleste av dagens organisasjoner bruker i større eller mindre grad IKTsystemer. Utnyttelse av fordeler ved IKT-systemene skaper nye organisasjonsformer. En av disse nye organisasjonsformene er kunnskapsorganisasjonen, som denne artikkelen fokuserer på. Disse kan kjennetegnes blant annet ved 336

3 Eirik Albrechtsen og Tor Olav Grøtan prosjektorientering i nærkontakt med markedet og systematisk kunnskapsdeling og innovasjon (Klev og Carlsen 2002). Det siste punktet er kjernen i kunnskapsintensive bedrifters produksjonsprosesser og kan utdypes i tre grener: 1) bruk av teknologi til systematisk kunnskapsdeling, 2) selvstyrt, uformell og fleksibel koordinering, men også noen aktiviteter som er underlagt fastlagte rutiner, og 3) samhandling på prosjekter på tvers av faggrenser og fysiske steder. Slike virksomheter har i mindre grad en fast organisasjon i forhold til arbeidsoppgaver, men er under kontinuerlig endring. Informasjon, kunnskap og kommunikasjon, samt de tekniske mediene som brukes, er en sentral, bærende og premissgivende del av organiseringen. En slik organisering fokuserer på relasjonelle ferdigheter, kommunikativ kompetanse, lagarbeid, allsidig kunnskapsgrunnlag, og sosiale, kulturelle og intellektuelle verdier. Samspill med andre og med teknologiske hjelpemidler er en essensiell del av organiseringen. Situasjonen er omskiftelig. Vår drøfting og forståelse av IKT-sikkerhet i kunnskapsorganisasjonen impliserer ikke at den kan beskrives og fanges i en entydig form eller modell. Kunnskapsorganisasjoner må heller forstås som en betegnelse på en type organisasjoner som er under kontinuerlig utvikling, der IKT er en av driverne for utvikling. Slike utviklingsprosesser kan vi studere f.eks. i offshorenæringen (edrift), helsevesenet (helhetlige pasientforløp) og i konsulentbransjen. IKT-sårbarhet i tre nivåer Den IKT-relaterte sårbarheten er i stadig utvikling. Vi skisserer her en grov og skjematisk inndeling av denne utviklingen, i tre nivåer. Hensikten er ikke å gi den hele, fulle og balanserte historie, men å trekke fram noen poenger vi mener er relevante for fremtidens IKT-sikkerhet. Merk at vi her omtaler sårbarheten i sin ytterste konsekvens, og ikke drøfter mottiltak inngående. Nivåene er formulert ut fra et virksomhetsperspektiv, men kan også utvides til et samfunnsperspektiv. Sårbarhetsnivå 1: IKT som generelt verktøy IKT er et verktøy som virksomheter er blitt mer og mer avhengig av. Hvis dette svikter eller tapes, mister i ytterste konsekvens organisasjonen sin historie og er så å si bombet tilbake til steinalderen. IKT har blitt en av de viktigste bærebjelkene i dagens samfunn, og en svikt i disse er en av de alvorligste sårbarhetene i dagens samfunn (NOU 2000). 337

4 17. Gammeldags tenkning i moderne organisasjoner? Etablerte begreper med hensyn til ulike beskyttelsesmål (konfidensialitet, integritet og tilgjengelighet 2 ) stammer fra dette grunnleggende sårbarhetsnivået. De er avledet fra og representerer temmelig ulike motiver og interesser. Men så lenge at det er IKT-systemer og data (ikke prosesser, produkter og resultater) som er hovedperspektivet, synes en rimelig balanse mellom de ulike beskyttelsesbehovene å være inne rekkevidde. Konseptet «trusted systems» oppstod også i dette perspektivet. Det fremstår som en rasjonell målsetting å lage IKT-systemer som beskytter data/informasjon i henhold til en prinsipiell, formalisert logikk, f.eks. graderingsnivåer. Alt dette på en så gjennomført og solid måte at sikkerheten ikke skal trues nevneverdig av hva mer eller mindre forsvarlige brukere kan «finne på». Sårbarhetsnivå 2: «Business-automation» IKT-utviklingen de senere år har et klart preg av at sentrale prosesser (verdikjeder) i og mellom virksomheter ikke bare forutsetter at IKT-infrastruktur og data/informasjon er tilstede, men at sentrale funksjoner og tjenester (ledd i verdikjeden) automatiseres gjennom IKT. Med dette oppstår en ny type sårbarhet i måten IKT skaper og setter rammer for organisasjonsstrukturer/-modeller. Det blir en meget betydelig utfordring å definere informasjonsmodeller og lage fullverdige beskrivelser over komplekse samhandlingsmønstre, funksjonsområder og saksområder. Lista blir lagt høyere og fallet blir langt mer alvorlig. På dette nivået skjerpes sakte men sikkert tonen mellom konfidensialitet på den ene side og integritet/tilgjengelighet på den andre. Informasjonsbehovet i viktige prosesser (kjeder) kan synes umettelig. Pålegget med hensyn til kvalitet, effektivitet og HMS-systemer er sterkt. Bekymringene sett fra f.eks. et personvernperspektiv øker. Et begrep som «de gode hensikters tyranni» avspeiler en frustrasjon over et sluttresultat som er utilfredsstillende, samtidig som at byggesteinene hver for seg er vanskelige å kritisere. Virksomhetsgrensene blir en viktig kontrollpost for å ivareta konfidensialiteten, men dette utfordres stadig av ønsket om å effektivisere samhandlingen mellom ulike virksomheter innen en sektor. IKT-systemene blir stadig mer komplekse og integrerte. De endres/vedlikeholdes kontinuerlig, og det blir stadig vanskeligere å garantere for at de virker på en bestemt måte over tid. Forventningen til IKT-sikkerhet dreies i mer pragmatisk retning knyttet opp mot IKT-systemenes evne til å understøtte en konkret 2 IKT-sikkerhet blir vanligvis definert som sikring av data/informasjons konfidensialitet, integritet og tilgjengelighet. ISO definerer begrepene slik: Konfidensialitet defineres som sikring av at informasjon er aksesserbar bare for de som er autorisert til å ha adgang til den. Integritet er å verne nøyaktigheten og fullstendigheten av informasjon og behandlingsmetoder. Tilgjengelighet skal sikre at autoriserte brukere har tilgang til informasjon og tilknyttet utstyr 338

5 Eirik Albrechtsen og Tor Olav Grøtan prosess og konkrete problemstillinger, og mindre mot en prinsipiell beskyttelse av data. Samtidig øker interessen for rollekonsepter og -skjema, som i betydelig grad forutsetter en mekanistisk, prosessorientert organisasjonsforståelse. Sårbarhetsnivå 3: Hvordan takle det uventede En vellykket «business automation» er, som vi har sett på nivå 2, en utfordring i seg selv med hensyn til god nok modellering og beskrivelse. Det skapes en ny type sårbarhet som er nært knyttet til selve tilnærmingen/metoden. En kompleks data- eller informasjonsmodell kan bare forstås av eksperter. Datamodeller er heller ikke spesielt velegnet for å fange opp det uventede, den tause kunnskapen, den nye innsikten og erfaringen, eller den subtile sammenhengen. Forutsetningen for rollebaserte strategier kan med dette betviles. Samhandlingen kan bli så kompleks og dynamisk at rollebeskrivelsen blir uhåndterlig i praksis og dermed setter virksomheter i en sårbar tilstand. Overgangen fra nivå 2 til nivå 3 er innfløkt. Det som først og fremst skiller dem, er at nivå 2 fokuserer på sårbarhet i faste informasjons- og organisasjonsmodeller, mens nivå 3 fokuserer på sårbarhet i samspillet mellom ulike roller i modellene. Samtidig er grunnlaget for tillit (trust) til IKT-systemene forvitret. I CIST (1999:189) beskrives denne utfordringen slik: «The combination of more open and decentralized networking environments and an increasing use of electronic communications and transactions suggest an increasing demand for major business automation systems. This continuing decentralization may render less and less applicable the concepts of control inherent in traditional approaches to security, reliability, and safety. In particular, there will be an increasing need for more individuals to be able to make trustworthiness judgements on an ad-hoc, real time basis». Data, informasjon og kunnskap I presentasjonen av de tre sårbarhetsnivåene har vi brukt begrepene data, informasjon og kunnskap. Disse begrepene er nært knyttet til hverandre, men er på ingen måte synonyme (selv om de ofte blir brukt om hver andre). Særlig begrepet kunnskap kan forstås på mange vis. Meningsfulle grenseoppganger vil variere avhengig av om vi snakker om taus eller eksplisitt kunnskap, om kvalitativ eller kvantitativ informasjon, om vi sverger til kunnskap som objektiv, generell og allmenngyldig, nøytral og eksakt, knyttet til hjerne og refleksjon, lagret og statisk, eller om vi aksepterer et kunnskapssyn som i større grad vektlegger at kunnskap er situasjonsavhengig, lokal, knyttet til kontekst, og kropp, formålsdrevet, levende, selvmodifiserende og omtrentlig (Carlsen 2002). Vi skal ikke diskutere 339

6 17. Gammeldags tenkning i moderne organisasjoner? distinksjonene videre her. Vårt poeng her er at IKT-sikkerhet har et taust, og kanskje ubevisst, forhold til slike distinksjoner. På sårbarhetsnivå 1 er det heller ikke nødvendig å skille mellom de tre begrepene. På sårbarhetsnivå 2 derimot, skjer det en relativt ubemerket forskyvning fra data til informasjon. Et eksempel illustrerer dette: Begrepet integritet defineres på høyst ulike måter i ulike regelverk og standarder, f.eks. i Personopplysningsforskriften(POF) og ISO Forskjellen kan forstås som en datakontekst (POF) versus en informasjonskontekst (ISO17799). I en datakontekst handler integritet om å hindre uautorisert endring av data som en materiell og statisk ressurs. Trusselen i en informasjonskontekst ligger ikke bare i at data endres ukontrollert, men vel så mye i at informasjonsinnholdet ikke endres, dvs. ikke holdes oppdatert, relevant, presist, komplett eller aktuelt i en gitt situasjon. Sistnevnte type egenskaper ved informasjonsinnholdet trues av forhold som åpenbart overskrider det som kan kontrolleres gjennom å hindre utilsiktet endring av data. I dette ligger en implikasjon som IKT-sikkerheten lett ignorerer. Informasjonens integritet styrkes når informasjonen er i arbeid, kontinuerlig blir holdt opp mot den virkelighet den beskriver, og blir oppdatert. Dataintegritet kan i så måte være kontraproduktiv i forhold til informasjonens integritet fordi den styrkes av at informasjonen så å si ligger i skuffen, en forutsetning som er vanskelig å holde fast på i en informasjonskontekst, for ikke å snakke om i en kunnskapskontekst. En vellykket håndtering av sårbarhetsnivå 2 inneholder en kime for sårbarhetsnivå 3, jamfør den intrikate overgangen mellom nivå 2 og 3. Kimen er forveksling av informasjon og kunnskap. Forskjellen er vanskelig å se når alt går «på skinner». Samtidig er det uhyre lite som skal til for at data og informasjon forstyrrer vesentlige elementer ved kunnskapsprosessen, som f.eks. fornyelse, (av)læring, improvisasjon, flertydighet og tvetydighet. En slik innfallsvinkel vil tvinge oss til å revidere bruken av konfidensialitet, integritet og tilgjengelighet ytterligere, men vil også reise mer fundamentale spørsmål om hvorvidt det er riktig å la disse begrepene fremstå som selve kvintessensen av IKT-sikkerhet Vår påstand er at hvis IKT-sikkerhet som fagområde skal «henge med» ift. kunnskapsorganisasjonene, må alle de tre sårbarhetsnivåene anerkjennes. Spesielt må man vurdere implikasjonene av å skille mellom data, informasjon og kunnskap. Hvis ikke vil vi oppleve IKT-relaterte ulykker selv om IKT-systemene fungerer «normalt». Kanskje har slike allerede skjedd. En svikt eller kollaps i en kunnskapsprosess kan bli svært synlig, men behøver ikke nødvendigvis avgi et «smell» høyt nok til at vi hører mer enn vi vil høre. En ulykke på en oljeinstallasjon overvåket gjennom et virtuelt kontrollrom kan være et eksempel på det siste. Sviktende pasientsikkerhet, eller død, pga. sviktende koordinering, kan være eksempel på det første. 340

7 Eirik Albrechtsen og Tor Olav Grøtan Systemulykker og sensemaking Det er en fellesnevner i disse tre, i utgangspunktet høyst ulike nivåene, nemlig det sosiologen Charles Perrow (1999) kaller en systemulykke. Systemulykker inntreffer når et system har strukturelle egenskaper som gjør at selv en liten hendelse kan gi store og alvorlige konsekvenser. Disse egenskapene dreier seg om komplekse interaksjoner (dvs. det er vanskelig å forutse og kontrollere unormale hendelser) og tette koblinger (dvs. forstyrrelser/feil vil forplante seg raskt gjennom systemet). Dersom de komplekse interaksjonene ikke lar seg redusere, anbefaler Perrow å desentralisere organisasjonen. På samme måte anbefaler han at dersom tette koblinger ikke kan gjøres løsere, skal organisasjonen sentraliseres. Dersom et system både er komplekst og tett koblet, oppstår et organisatorisk dilemma: Skal systemet både sentraliseres og desentraliseres? Perrow diskuterer IKT-sårbarhet i postscriptet i 1999-utageven av boka «Normal Accidents», hvor han benytter sin teori om systemulykker på år 2000 problemet, Y2K-problemet (en problemstilling som kan plasseres på sårbarhetsnivå 1). I en heller pessimistisk drøfting av det, den gang, meget omtalte Y2Kproblemet (merk at Perrows drøfting er fra 1999!) belyser Perrow hvordan uforutsette og uønskede hendelser kunne inntreffe 1.Januar Perrow sier det slik: «[ ] Y2K has the potential for making a linear, loosely coupled system more complex and tightly coupled than anyone had any reason to anticipate» (Perrow 1999:392). I dag vet vi at verdens IKT-systemer 1.Januar 2000 virket slik de gjorde noen timer før, i At det gikk så bra den gangen, må nok ses i sammenheng med det grundige forarbeidet som ble gjort for å hindre mulige kollaps. Av Y2K-problemet kan vi lære at vi har (hadde?) effektive nok metoder og verktøy til å håndtere en slik stor og omtalt teknologisk sårbarhet i IKT-systemene. På den annen side: Y2K ble forhindret gjennom en massiv innsats som man ikke kan gjenta stadig vekk. Det kan ikke forventes samme innsats mot for eksempel stadige virusangrep av den typen som i verste fall har vist seg å kunne slå ut en hel organisasjon. 3 Men systemulykketeorien har implikasjoner ut over dette. På alle tre sårbarhetsnivåer blir et viktig spørsmål; når situasjonen avviker fra det normale, og vi så å si er i antenningsfasen til en systemulykke blir IKT-løsningene en klamp om foten som låser handlingene til det forventede, eller blir IKT et hjelpemiddel for å improvisere, gripe, forandre og forvandle? Strekker vi ambisjonene for samhandling på teknologiens premisser alene, og konstruerer vi blinde flekker som kan bli fatalenår noe uventet skjer? Deter lett å glemmearistoteles ordom at det er sannsynlig at noe usannsynlig skjer, når vi er «fanget» i teknologiens velde. Og vi kan ikke unnlate å peke på det som fremstår som en vesentlig svakhet ved 3 For eksempel Sasser-viruset som blant annet slo ut If Skadeforsikring, våren

8 17. Gammeldags tenkning i moderne organisasjoner? den tradisjonelle tilnærmingen til IKT-sikkerhet: Alle våre bestrebelser og IKTmuligheter til tross, det er den menneskelige faktor som kan velte lasset. Individet må bedømme troverdigheten i det han/hun får presentert gjennom IKTsystemene. Forskjellen er bare at (det ulykkelige) individet blir stilt i en situasjon der IKT-systemene, og kunnskapen om disse, 4 prestrukturerer situasjonen og gir et overveldende inntrykk av kontroll og trygghet. Hendelsen eller feilen som får det hele til å rakne, er liten og unnselig, helt til den har skjedd med fatale konsekvenser. I Perrowsk ånd vil vi tillate oss å kalle det en systemsvakhet at enkeltpersoner blir eksponert for slike situasjoner. Karl Weicks (1995) bok om sensemaking belyser nettopp antenningsfasen til systemuluykker. Sensemaking handler om hvordan virkeligheten konstituerer seg i organisasjoner. 5 Weick beskriver en virkelighetsoppfatning som er langt fra stabil, men som befinner seg i en kontinuerlig fullførelsesprosess. Perspektivet knyttes eksplisitt til og utdyper Perrows begrep om systemulykker. Individet tvinges til å velge (bort) informasjon i en stresset og dynamisk situasjon. Svikten ligger like mye i grensene for menneskelig sensemaking som kompleksiteten i det tekniske systemet. Systemet kollapser fordi meningsdannelsen(sensemaking) kollapser. Sensemakinghandler ikke om hendelsene selv, men om den konteksten de forstås i. Velorganiserte og spesialiserte systemer er spesielt utsatt, og spesielt i de tilfeller der IKT er brukt som et støtteverktøy som predefinerer situasjonsforståelser og hendelsesforløp.vi ser her at IKT er i en dobbeltrolle, der det 1) er en viktig del av det sosiotekniske systemet som står i fare for å kollapse, og 2) prestrukturerer forståelser og handlingsmuligheter som bidrar til å føre fram til kollapsen. Weicks (1995) nærstudie av systemulykken gir med dette noen spennende nøkler til en innsikt som kan hjelpe oss til å forstå hvordan høykompetente organisasjoner kan komme i situasjoner som av ettertiden blir karakterisert på samme måte som f.eks. NASA etter Challenger-ulykken (Baumard 1999): Grensene for risikopersepsjon ble konstant modifisert som følge av at man mestret en kompleks teknologi. Til og med en kunnskapsorganisasjon som NASA er i stand til å «venne seg til» sin egen kunnskap, for så å bli forrådt av den. 4 F.eks. gjennom tradisjonelle risikoanalyser 5 Mennesker skaper retrospektiv mening i de sitasjoner de befinner seg i, og dette former organisatorisk struktur og atferd. Sensemaking handler om at aktører strukturer det ukjente og gir det mening. Retrospektive erfaringer og sannheter produserer forklaringer på overraskelser. Sensemaking er en kompleks interaksjon mellom søking etter informasjon, tilskrivelse av mening, samt handling. 342

9 Eirik Albrechtsen og Tor Olav Grøtan Det tradisjonelle utgangspunktet for IKT-sikkerhet Her vil vi beskrive hvordan de sårbarhetene vi introduserte i kapittel 3, tradisjonelt har blitt håndtert innen fagfeltet IKT-sikkerhet. Noen av de trekk vi oppfatter som utgangspunktet for dagens IKT-sikkerhet presenteres, før vi viser hvordan dette tradisjonelle perspektivet kan være et godt utgangspunkt for et nytt trinn på en IKT-sikkerhetstrapp. Trappemetaforen brukes for å understreke følgende: 1) IKT-sikkerhet må være en evolusjonær prosess, der ny kunnskap og praksis bygger på, men også til en viss grad, erstatter gammel kunnskap og praksis, og 2) det haster med å lage et nytt trinn på IKTsikkerhetstrappen! Teknologi og teknokrati IKT-sikkerhet, eller datasikkerhet som det ble kalt den gangen, oppstod og ble formet som fagområdet i en tidsbestemt teknologisk kontekst, nemlig databehandling og EDB. Det er vår påstand at fagområdet IKT-sikkerhet fremdeles er det som det ble unnfanget som, nemlig datasikkerhet tilpasset EDB-stadiet i IKT-utviklingen. Datasikkerhetsparadigmet avspeiler en mekanistisk forståelse av informasjon som en materiell og statisk ressurs som kan beskyttes ved teknologiske hjelpemidler, f.eks. kryptering. Siden den gang har det meste av det som er praktisert, sagt og skrevet dreid seg om tekniske løsninger på teknologiske problemer (Albrechtsen 2002). IKT-sikkerhetseksperten Bruce Schneier (2000:xii) har uttrykt dette veldig kompakt: «If you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology». Det er altså behov for å rive seg løs fra de teknologiske tilnærminger til fagfeltet og åpne opp for hensiktsmessige aspekter ved mennesker, ledelse og organisering i tillegg. Styring og ledelse har i stor grad skjedd gjennom kunnskap, ekspertmakt og evnen til å løse relevante problemer. Denne teknokratiske styringsformen gjenspeiles i at toppledelsen legger alt ansvar i hendene på IKT-sikkerhetspersonell. En av forfatterne hørte en gang en norsk toppleder på en sikkerhetskonferanse si: «Det er ingen i min organisasjon som jeg har gitt så mye ansvar og tillit som IKT-sikkerhetssjefen min». Som oftest har IKT-sikkerhetspersonellet teknologisk utdanning, det er derfor også, forståelig nok, lett å ty til teknologiske løsninger. Tiltrodde systemer (trusted systems)? I IKT-sikkerhetens militære barndom var utgangspunktet for beskyttelse av data/ informasjon formelle modeller, for eksempel basert på graderingsnivåer. Implementering var et spørsmål om kompetent engineering. Et «trusted» system var pr. definisjon både «safe» og «secure». Både på det sivile og det militære området 343

10 17. Gammeldags tenkning i moderne organisasjoner? kom de formelle modellene imidlertid til kort overfor virkelighetens verden. Kartet stemte ikke med terrenget, og formell verifikasjon av IKT-systemer ble dessuten svært kostbart. IKT sikkerhet har derfor etter hvert beveget seg vekk fra formelle analyser til å vektlegge håndtering av konkrete utfordringer. Nye trusler oppstår stadig, ikke minst knyttet til virus og andre «infeksjoner». Det kan reises tvil om utviklingen går i retning av bedre sikkerhet og mindre sårbarhet. Det finnes eksempler på at sikkerhetsteknologien i seg selv blir en trussel. IKT-avhengige virksomheter og organisasjoner som opererer i en markedsøkonomi tar seg sjelden råd til å ta i bruk det ypperste av sikkerhetsteknologi (CIST 1999). Beslutninger på dette området preges dessuten av en kompetanseforskyvning (fra brukerne til leverandørene) som resultat av bevegelse fra proprietære løsninger til mer ferdigpakkede, standardiserte 6 IKT-løsninger. Mekanistisk organisasjonssyn Den dominerende organisasjonsforståelseni IKT-sikkerhet er hovedsaklig mekanistisk/byråkratisk og taylorsk. Viktige kjennetegn på denne forståelsen er utøvelse av myndighet i henhold til regler, tydelig hierarkisk med klare maktskiller, skarp oppgavedeling, overvåkningssystemer og detaljerte regler/bestemmelser for organisatorisk atferd (Taylor 1911, Weber 1971). Slektskapet med tekniske problemer og løsninger er tydelig, og organisasjonen fremstår som mekanistisk. Denne påstanden bekreftes langt på vei av Dhillon og Backhouse (2001) som i en kartlegging av forskning på IKT-sikkerhet peker på at forskning rettet mot organisasjon og ledelse har vært preget av et fokus på kontroll og reguleringer. Kontroll har vært håndtert ved overvåkning, tilgangsrettigheter og forsøk på å styre atferd ved hjelp av retningslinjer. Vi har allerede stilt spørsmål om IKTløsningene blir en klamp om foten eller et hjelpemiddel til å improvisere når systemulykken initieres. Det samme spørsmålet kan stilles om et mekanistisk organisasjonssyn, og svaret er trolig at et slikt organisasjonssyn pr. definisjon blir en klamp om foten når systemulykken er i antennelsesfasen i kunnskapsorganisasjoner, blant annet fordi rommet for tilfeldig gjenopprettelse er begrenset. En slik byråkratisk forståelse av organisasjoner tilsvarer i stor grad Bolman og Deals (1991) strukturelle perspektiv på organisasjoner 7 og Morgans (1998) metafor om organisasjoner som maskiner 8. Både Bolman/Deal og Morgan frem- 6 COTS-løsninger (commercial off-the-shelf) 7 Organisasjoner eksisterer primært for å oppnå etablerte målsettinger gjennom etablerte målsettinger vha hensiktsmessig strukturering. Koordinasjon skjer gjennom hierarki og regler. 8 Forventing om at organisasjoner fungerer som maskiner, dvs. rutinemessig, effektivt, pålitelig og forutsigbart. Styring ved byråkratiske prinsipper. 344

11 Eirik Albrechtsen og Tor Olav Grøtan hever at dette er bare en av flere måter å forstå organisasjoner på, et poeng som synes å være mangelvare i IKT-sikkerhetssammenheng. Det synes som om regelverk som eksempelvis Personopplysningslovenog Sikkerhetsloven samt ISO standard er preget av, og oppfordrer til, nettopp slike strukturelle og byråkratiske organisasjonsforståelser. Premissen synes å være at alle organisasjoner pr. definisjon er hierarkiske og rasjonelt målsøkende, og at enkeltindivider er rasjonelle aktører som kan læres felles holdninger og atferd. Det fremstår etter vårt syn som en smule ironisk, og kanskje skremmende, at en av de mest moderne og muliggjørende teknologiene, IKT, skal temmes gjennom et reduksjonistisk og flatt menneskesyn, byråkratisk organisasjonsforståelse, tro på objektiv risiko og håndtering av denne, og et ensidig «rasjonelt» verdensbilde. Security-fokus Selv om det også arbeides med IKT-safetyaspekter innen fagfelt som eksempelvis menneske-maskin interaksjon og systempålitelighet, har den tradisjonelle tilnærmingen til IKT-sikkerhet i hovedsak vært security-rettet, dvs. rettet mot å avverge tilsiktete, ondsinnete angrep (f.eks. hacker-angrep). Denne type trusler har akselerert de siste årene, og preger nyhetsbildet nesten daglig. Faren er at det overskygger risikoen knyttet til andre farekilder i IKT-systemer som inntar stadig flere samfunnsområder, og særlig de som bygger seg opp over tid. Høsten 2001 var sentrale banktjenester utilgjengelige for kundene en hel uke, uten at en eneste hacker eller utro tjener var involvert. Kan det samme skje med annen kritisk infrastruktur, et sykehus, eller innen olje- og gassproduksjon? IKT-sikkerhet er ikke et spørsmål om bare å sikre seg mot tilsiktede, ondsinnete handlinger. Utilsiktede menneskelige feilhandlinger er også en viktig utfordring, ikke minst på sårbarhetsnivå 2 og 3. Vi står altså overfor en eksplosiv blanding av feilhandlinger, ondsinnete handlinger og teknologiske feil, hver for seg og i kombinasjon. Det er en betydelig utfordring å håndtere denne eksplosive blandingen. Kanskje krever de hver for seg ulike tankesett, men det er også nødvendig å se dem i sammenheng. Tradisjon og evolusjon Vårt utgangspunkt er som tidligere nevnt at det er behov for et nytt trinn på IKT-sikkerhetstrappen. I år 2004, på et tidspunkt der vi forventer mer av IKT enn noen gang, er det verdt å se tilbake og vurdere om de opprinnelige paradigmene trenger modernisering. Rapporten Trust in Cyberspace fra det amerikanske National Research 9 Information Technology Code of practice for information security management 345

12 17. Gammeldags tenkning i moderne organisasjoner? Council antyder at vi kan finne litt av hvert. Her sies det at «the largely disappointing results from more than two decades of work based on what might be called the «theory of security» invites a new approach to viewing security based on a «theory of insecurity» (CIST 1999:109). Dette underbygger vår påstand om at fagområdet IKT-sikkerhet fremdeles er det det ble unnfanget som, nemlig datasikkerhet tilpasset EDB/ADB-stadiet i IKT-utviklingen. I forhold til sårbarheter, farer og trusler i teknologi og infrastruktur (sårbarhetsnivå 1) kan det tradisjonelle datasikkerhetsparadigmet være hensiktsmessig. På den måten er ikke tradisjonen på noen måte feil, og den trengs fortsatt i fremtiden. Det er imidlertid behov for å bygge et nytt trinn med nye forståelser for ledelse og organisasjon som en videreføring av den trappen som tradisjonen representerer. Konstruksjonen av et nytt trappetrinn Som det sikkert har gått frem for leseren, er det vår mening at de tradisjonelle tilnærmingene til IKT-sikkerhet er utilstrekkelige. Å forkaste de tradisjonelle perspektivene vil imidlertid være som å tømme barnet ut med badevannet. Vi har allerede brukt trappemetaforen. IKT-sikkerhet er fremdeles i stor grad et teknisk spørsmål. Utfordringen er å forene dette med et ikke-teknisk syn på organisasjoner og de mennesker som er del av disse organisasjonene. Organisasjoner som maskiner kan også være en velegnet forståelse i visse situasjoner, men kan ikke være en absolutt forståelse 10. Blant dagens og morgendagens kunnskapsorganisasjoner er det bare et fåtall som passer for en mekanistisk tilnærming til sikkerhetsarbeidet. Det må derfor tilstrebes en helhetlig IKT-sikkerhet, hvor teknologi, mennesker og organisasjon går hånd i hånd. I det videre vil vi vise noen av de «materialer» et nytt trappetrinn kan bygges av. Mennesker som de er? Det menneskelige element gjør virksomheter sårbare for tilsiktede, ondsinnete handlinger og utilsiktede hendelser (feilhandlinger), og er ofte tuen som får et stort lass til å velte. Donn B. Parker (1998) illustrerer denne sårbarheten med en analogi til Kublai Khans herjinger på siste del av 1200-tallet. Gang på gang forsøkte Kublai Khan og hans mongolske horder å komme seg over, gjen- 10 Morgan (1998) hevder at et mekanistisk perspektiv på organisasjoner er velegnet bare når maskinene fungerer bra, dvs. når det er en enkel oppgave som skal utføres, når miljøet omkring er stabilt, når samme produkt produseres om igjen og om igjen, når det er høye krav til presisjon og når de menneskelige komponentene oppfører seg som planlagt. Et eksempel på en organisasjon hvor dette benyttes i dag, er hamburgerkjeden McDonald s. 346

13 Eirik Albrechtsen og Tor Olav Grøtan nom, under og rundt den kinesiske mur, men den var for høy, solid, dyp og lang. Tilslutt kom mongolene seg forbi, ganske enkelt ved å bestikke en vokter. Eksemplet, som i høyeste grad er fra før IKT-tidsepoken, viser for det første at tekniske løsninger ikke er nok, og for det andre at sikkerhetsprogrammering av mennesker er umulig. Ikke alle vil gå i takt etter de føringer som er gitt i sikkerhetssystemet. Mennesker er ikke brikker i et mekanisk spill slik tradisjonen har lagt opp til gjennom kontroll og overvåkning av mennesker, samt dokumenterte retningslinjer for sikker atferd. En alternativ, ikke-mekanistisk og mer human tilnærming rettet mot mennesker må søkes. Et viktig stikkord i den forbindelse er brukerdeltakelse i utviklingen av sikkerhetstiltak. Risikoatferd og -håndtering i kunnskapsorganisasjoner Framtidens IKT-sårbarhet handler i stor grad om at IKT forfører oss til å forfølge stadig nye ambisjonsnivåer og at vi strekker mulighetene til bristepunktet. Vi står overfor risikoer vi overhodet ikke er forberedt på. Forventningen og betalingsvilligheten i forhold til «trusted systems» er i løpet av et par årtier erstattet av en tilbøyelighet til å ta sjansen med IKT. Årsaken til dette er kanskje at gevinsten er stor, og at alle baserer seg på at fremtidens teknologi vil løse alle problemer. Poenget er altså at IKT-sikkerhet må forstås i en større kontekst enn seg selv. Sosiologen Richard Sennett treffer antakelig spikeren på hodet når han sier at «risk in real life is driven more elementally by the fear of failing to act. In a dynamic society, passive people wither» (Sennett 1998:88). Weick(1995) går enda lengerenn Sennett i å antyde at risikoatferdiseg selv rett og slett er meningsbærende i moderne organisasjoner. Weicks argument er at i en organisatorisk virkelighet preget av konkurranse og ustabilitet, er presisjon ofte en kostbar luksus. Det primære målet er å etablere stabilitet og forutsigbarhet. I moderne organisasjoner er kostnaden med å være ubesluttsom høyere enn kostnaden med å være upresis. Når hurtighet og djervhet teller mest av alt, tenderer sensemaking mot å bli mer skjemadrevet (programmert) enn datadrevet. Tidspress stimulerer folk til å søke bekreftelse på forventninger, klynge seg til sine initielle, hypoteser og foretrekke en narrativ tankegang på bekostning av en datadrevet tankegang. Kombinasjonen av evig strev etter å etablere nye relasjoner og å håndtere tidsnød øker avhengigheten av forventninger, og av at folk innfrir disse fortest mulig. De fleste, i de fleste organisasjoner, bruker følgelig det meste av sin tid på å finne mening under forhold der selvoppfyllende profetier florerer, nettopp fordi selvoppfyllende profetier er en av de få sensemaking-prosesser som virker under slike forhold. Å argumentere seg frem til mening er bare mulig når verden er relativt stabil, og når formålet har en viss varighet. Weicks beskrivelse treffer her, etter vår mening, vesentlige sider ved kunnskapsorganisasjoners jakt på identitet, mening og kunnskaping. 347

14 17. Gammeldags tenkning i moderne organisasjoner? Risikotaking overskygger håndtering av nye risikoer. Hvordan disse nye risikoer skal håndteres, er på den annen side ikke lett, de er preget av stor grad av usikkerhet og kompleksitet (Albrechtsen 2004). På den måten kan det hevdes at føre-var strategier, som «trusted systems» er et forsøk på, kan være hensiktsmessige. Samtidig vil en risikobasert tilnærming bestående av analyser kunne bidra til å spå fremtidige risikoer ved risikoatferden. For å følge Klinke og Renns (2002) argumenter om risk management bør risikohåndtering og sikkerhetsledelse derfor bestå av en kombinasjon av risikobaserte, føre-var og diskursbaserte 11 strategier for å redusere risikoen. Læring fra safetyområdet 12 I forlengelsen av at IKT-sikkerhet er et safetyproblem så vel som et securityproblem, er det nærliggende å se hva som kan læres fra safetyområdet. Både security og safety vil i siste instans handle om å beskytte verdier vi er opptatt av mot trusler/farer. Selv om det er noen ulikheter mellom security og safety, vil det være betydelige læringspotensialer for ledelse og organisering. Læringspotensialet kommer godt fram ved å se på safety i et historisk perspektiv. Hale og Hovden (1998) har beskrevet tre tidsaldrer for safety forskning: Den første tidsalder som fokuserte på safety som et teknisk problem, den andre tidsalder som så på safety som et menneskelig problem og den tredje tidsalderen som så på safety som et problem relatert til ledelse, organisasjon og kultur. Dagens IKT-sikkerhetsforskning befinner seg tydelig på et nivå likt med safetyforskningens første tidsalder. Den første utfordringen for IKT-sikkerhet blir dermed å utvide perspektivet for dermed å klatre opp til et nivå minst på høyde med safetys tredje tidsalder. Safety er et område med en helt annen teoretisk ballast enn IKT-sikkerhet, en helt annen grad av pluralisme i tilnærmingsmåter og en pågående refleksjon over hvordan tiltak og løsninger fungerer i, og påvirker, de organisatoriske kontekstene som er aktuelle. Fagfeltet tør til og med å være fler-/tverrfaglig, som må kunne tolkes som et uttrykk for modenhet. I kontrast til dette er IKT-sikkerhet i sammenlikning temmelig selvrefererende, «det er liksom ikke noe å lære av andre» (annet enn de tekniske disipliner). Medvirkning og deltakelse i hele organisasjonen, som er lovfestet i internkontrollforskriften på safetyområdet, er et mulig læringspotensiale. Et annet aspekt der det er mye å lære fra både positive og negative erfaringer innen safety, er på individrette tiltak. 11 En strategi i sikkerhetsledelsesom fremmermedvirkningog deltakelsei hele organisasjonen.målet er å skape enighet mellom ulike grupper om risikohåndtering. 12 Med safety-området mener vi tradisjonelt sikkerhetsarbeid innen f.eks. industri og transport. 348

15 Eirik Albrechtsen og Tor Olav Grøtan En mer fleksibel og variert organisasjonsforståelse Som beskrevet, har nye organisasjonsformer vokst frem med IKT. Felles for disse nye virksomhetene er at de ikke er mekanistisk organisert som byråkratier. De må forstås som levende organismer, ikke som informasjonsprosesserende maskiner (Nonaka og Takeuchi 1995). I tabellen under har vi satt opp stikkord som kjennetegner henholdsvis kunnskapsorganisasjoner og det tradisjonelle synet på ledelse og organisasjon i forhold til IKT-sikkerhet. Tabell 1. Kjennetegn på kunnskapsorganisasjoner og ledelse/organisasjon i IKT-sikkerhet Kjennetegn på kunnskapsorganisasjoner Bruk av teknologi til systematisk kunnskapsdeling Selvstyrt, uformell og fleksibel koordinering Kommunikasjon og dynamisk kunnskapsutvikling. Samhandling på prosjekter på tvers av faggrenser og fysiske steder Kontinuerlig endring Allsidig kunnskapsgrunnlag og fokus på sosiale, kulturelle og intellektuelle verdier Fagfeltet IKT-sikkerhets tradisjonelle syn på ledelse og organisering Orientert mot sikring av data som fysisk ressurs Teknokrati Byråkrati Kontroll og reguleringer Dokumenterte retningslinjer Beskyttelse mot security-trusler Syn på org.medlemmer som rasjonelle aktører Den tradisjonelle organisatoriske tilnærmingen til IKT-sikkerhet forutsetter en organisasjonsform som vi ikke finner igjen i kunnskapsorganisasjonen. Det er da en fare for at sikkerhetsregimet avstøtes på samme måte som et fremmedelement i en menneskelig organisme. Et fremtidsrettet organisatorisk sikkerhetsperspektiv bør ta høyde for at enkeltaktørene i organisasjoner er ulike. En sikkerhet som forutsetter total uniformering og ensretting, er en skjør konstruksjon. Sikkerhet kan aldri oppnås ene og alene gjennom å programmere individer i henhold til en kollektiv mal. Det vil alltid finnes et avvik eller en avviker. Den organisatoriske forståelsen av IKT-sikkerhet og de metoder og verktøy som avledes av denne, må være tilpasset den aktuelle organisasjonen i den aktuelle konteksten. Det blir for lettvint å bare fortsette å anta at sikkerhetsledelse i en tradisjonell mekanistisk organisasjon kan overføres til hvilken som helst organisasjon. 349

16 17. Gammeldags tenkning i moderne organisasjoner? Organisasjon og ledelse kan forstås på mange måter, og det finnes ikke noe entydig svar på hvordan et nytt trinn IKT-sikkerhetstrappen vil se ut. Nye syn må utarbeides i nær kontakt med praktikere, og aksjonsforskning 13 er en mulig tilnærming til en slik prosess. For å gi inspirasjon til tenkning om mulige nye perspektiver på organisasjon og ledelse innen IKT-sikkerhetsområdet vises her noen eksempler på pluralistisk tenkning fra andre fagområder: Bolman og Deal (1991) og Morgan (1998) foreslår en rekke mulige syn på organisasjoner relatert til blant annet politikk og makt, kultur, læring, menneskelige ressurser og stadige endringer. I forhold til sikkerhetsledelse har Klinke og Renn (2002) foreslått tre strategier som kan være ledesnorer for ulike perspektiver på IKT-sikkerhetsledelse: risikobasert, føre-var og medvirkende strategier. Rosness et al. (2004) har beskrevet fem perspektiver for å forstå organisatoriske mekanismer relatert til storulykker: barrieretenkning, systemulykke, High Reliable Organisations (HRO), informasjonsprosessering og beslutningstaking. Alle disse er ment som mulige ideer til videre tenkning omkring nye perspektiver på IKT-sikkerhet. Noen av dem kan være mindre hensiktsmessige, og det vil også finnes andre perspektiver utover disse. Konklusjon I lys av dagens og morgendagens kunnskapsorganisasjoner, hvor IKT-systemer sammen med informasjon, kunnskap, kommunikasjon og samspill er blant premissgiverne, har vi i denne artikkelen forsøkt å se på IKT-sikkerhet med nye blikk. Et utgangspunkt og argument for et nytt syn på IKT-sikkerhet finnes på tre IKT-sårbarhetsnivåer i kunnskapsorganisasjoner. Disse tre nivåene er relatert til 1) IKT som generelt verktøy, 2) «business automation» og 3) hvordan takle det uventede. Felles for alle nivåene er at virksomheter har satt seg i en så sårbar situasjon at selv små utilsiktede og tilsiktede hendelser kan få store konsekvenser. Tradisjonelt har IKT-sårbarheter blitt forsøkt løst ved teknologiske løsninger. Dette er på ingen måte en feil håndtering, IKT-sikkerhet er og vil bli en teknisk 13 Aksjonsforskning(actionresearch)utføresavetteamsominkludererforskereogmedlemmeraven organisasjon eller et samfunn som forsøker å forbedre deres situasjon. Aksjonsforskning innebærer bred deltakelse i forskningsprosessen og støtter handling som førere til en bedre situasjon for alle interessenter. Forskere og deltakere utvikler sammen hva som skal undersøkes, genererer kunnskap om problemet sammen, og tolker resultater av handlingene basert på hva de har lært av prosessen (Greenwood og Levin 1998) 350

17 Eirik Albrechtsen og Tor Olav Grøtan utfordring. Teknologi alene er imidlertid ikke nok, menneskelige og organisatoriske aspekter må også inkluderes i sikkerhetsarbeidet. Disse aspektene har hovedsakelig gjenspeilet teknologien i et mekanistisk organisasjonssyn som inkluderer blant annet tro på organisasjonsmedlemmer som rasjonelle aktører, detaljerte bestemmelser for atferd, organisasjoner som statiske hierarkier, teknokratisk styring og beskyttelse mot tilsiktede, ondsinnete handlinger. Det tradisjonelle organisasjonssynet er på kollisjonskurs med verdier og kjennetegn på dagens og morgendagens kunnskapsorganisasjoner. Det er derfor behov for at fagfeltet åpner opp for nye tanker og ideer. Tradisjonen skal imidlertid ikke forkastes den er et godt utgangspunkt for å bygge et nytt trinn på IKT-sikkerhetstrappen bestående av nye perspektiver på organisasjon og ledelse. Hvordan en ny forståelse for ledelse og organisering vil se ut, er kontekstavhengig. Organisasjoner kan forståes og tolkes på mange måter (Bolman og Deal 1991, Morgan 1998). Dette reflekterer den pluralistiske tankegangen som finnes innen safety-fagfeltet, men som er mangelvare innen IKT-sikkerhetsområdet. De tradisjonelle tilnærmingene med tekniske løsninger og mekanistisk ledelse/ organisasjon er to av flere perspektiver. Andre mulige perspektiver kan være relatert til dynamiske organisasjoner, menneskelige faktorer, medvirkning og sikkerhetskultur. De tanker, utfordringer og mulige løsninger vi har foreslått i artikkelen tilhører et nytt og relativt lite utforsket område. I et forskningsperspektiv er det vår mening at veien mot en bedre forståelse for IKT-sikkerhet går gjennom aksjonsforskning, der forskere og medlemmer av en virksomhet sammen forsøker å forbedre situasjonen. Mulige forskningsspørsmål kan være hvordan tilrettelegge og utføre individrettete tiltak, hvordan virksomheter skal beskytte seg i en kunnskapskontekst, hvordan skape medvirkning i sikkerhetsarbeidet og hvordan alternative tilnærminger kan anerkjennes og tas i bruk. Ved at forskere kan publisere resultater fra slike prosesser, åpner det også for at andre virksomheter kan lære. Takk Takk til seniorforsker Ragnar Rosness ved SINTEF teknologiledelse for nyttige innspill. Eirik Albrechtsens PhD-stipend er finansiert av Vesta Forsikring AS. 351

18 17. Gammeldags tenkning i moderne organisasjoner? Referanser Albrechtsen, E. (2002): Risikovurderinger i informasjonssikkerhet utløsende faktor og oppfølging. Hovedoppgave, inst. for industriell økonomi og teknologiledelse, NTNU. Tilgjengelig på Albrechtsen, E. (2004): «Handling of uncertainty, complexity and ambiguity related to IT risk.» I Gattiker, E.E. (red), EICAR 2004 Conference CD Rom. København: EICAR e.v. Baumard, P. (1999): Tacit Knowledge in Organizations. Sage Publications. Bolman, L.G og T.E. Deal (1991): Nytt perspektiv på organisasjon og ledelse. Strukturer, sosiale relasjoner, politikk og symboler, Oslo: ad Notam Gyldendal. Carlsen, A. (2002): Om kunnskap i KIFT-bedrifter. SINTEF rapport STF38 S Tilgjengelig på CIST (Committee on Information Systems Trustworthiness), Trust in Cyberspace. National Research Council (USA). Tilgjengelig på index.htm. Dhillon, G. og J. Backhouse (2001): «Current directions in IS security research: towards socioorganizational perspectives», i Information Systems Journal, vol. 11, nr.2 s ISO (2000): ISO standard Information technology Code of practices for information security management. Klev, R. og A. Carlsen. (2002): På sporet av noe? Kjennetegn og kjente tegn i kunnskapsbedrifter. SINTEF rapport STF38 S Tilgjengelig på Klinke A. og O.Renn. (2002): «A new approach to risk evaluation and management: Riskbased, precaution-based and discourse-based strategies» i Risk Analysis, vol.22, nr.6, s Greenwood, D.J og M.Levin. (1998). Introduction to Action Research. London: Sage Publications. Hale, A og Hovden, J., (1998): Management and culture; the third age of safety, i A.M. Feger and A.Williamson (eds.) Occupational Injury: risk, prevention and interventions, Taylor & Francis, London s Morgan, G. (1998): Organisasjonsbilder. Innføring i organisasjonsteori, Oslo: Universitetsforlaget. NonakaI. og H.Takeuchi.(1995): The Knowledge-CreatingCompany. OxfordUniversityPress. NOU (2000). Et sårbart samfunn. Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet. Norges offentlige utredninger 2000:24 Perrow, C. (1999): Normal Accidents: living with high-risk technologies. Princeton, New Jersey: Princeton University Press. Personopplysningsloven (2001): Lov av 14. April 2000 nr. 31 om behandling av personopplysninger (Personopplysningsloven) samt forskrifter. Parker, D.B. (1998): Fighting Computer Crime. A New Framework for Protecting Information, New York: John Wiley & Sons. Rosness, R., G.Guttormsen, T.Steiro, R.K.Tinmannsvik og I.A. Herrera. (2004): Organisational Accidents and Resilient Organisations: Five Perspectives. SINTEF rapport nr STF38A04403 Schneier, B. (2000): Secrets & Lies. Digital Security in a Networked World, New York: John Wiley & Sons. Sennett, R. (1998): The Corrosion of Character: The Personal Consequences of Work in the New Capitalism. W.W. Norton,. 352

19 Eirik Albrechtsen og Tor Olav Grøtan Sikkerhetsloven (2002) Lov om forebyggende sikkerhetstjeneste (Sikkerhetsloven) sist ved lov av 21.desember 2001 nr.117. Taylor, F.W. (1911): Principles of Scientific Management. New York: Harper & Bros. Weber, M. (1971): Makt og byråkrati. 3. utgave, 2. opplag, Oslo: Gyldendal Norsk Forlag AS Weick, K.E. (1995): Sensemaking in Organizations. Sage. 353

Er det fruktbart å se risiko fra ulike ståsteder?

Er det fruktbart å se risiko fra ulike ståsteder? Er det fruktbart å se risiko fra ulike ståsteder? Hva betyr det for praktisk sikkerhetsarbeid? Eirik Albrechtsen Forsker, SINTEF Teknologi og samfunn 1.amanuensis II, NTNU 1 Risiko og sårbarhetsstudier

Detaljer

Hvordan kan organisasjonen påvirke informasjonssikkerheten?

Hvordan kan organisasjonen påvirke informasjonssikkerheten? Sikkerhetskonferansen, Hvordan kan organisasjonen påvirke informasjonssikkerheten? Dr.ing stipendiat Inst. for industriell økonomi og teknologiledelse, NTNU http://leo.iot.ntnu.no/~albrecht/ 1 Hvordan

Detaljer

ISACAs julemøte 4.desember Hvordan kan organisasjonen påvirke informasjonssikkerheten? - sikkerhetsledelses perspektiv

ISACAs julemøte 4.desember Hvordan kan organisasjonen påvirke informasjonssikkerheten? - sikkerhetsledelses perspektiv ISACAs julemøte Hvordan kan organisasjonen påvirke informasjonssikkerheten? - sikkerhetsledelses perspektiv Dr.ing stipendiat Inst. for industriell økonomi og teknologiledelse, NTNU http://www.iot.ntnu.no/users/albrecht/

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

Samfunnsviktig infrastruktur og kritiske objekter

Samfunnsviktig infrastruktur og kritiske objekter Samfunnsviktig infrastruktur og kritiske objekter Kapt Trond Sakshaug Planoffiser HV-01 Orienteringen er UGRADERT Innhold Begreper og perspektiv Generelle hovedinntrykk fra prosessen Trussel Trussel Hva

Detaljer

Informasjonssikkerhet og ansatte

Informasjonssikkerhet og ansatte Informasjonssikkerhet og ansatte 1 PhD stipendiat Eirik Albrechtsen Inst. for industriell økonomi og teknologiledelsen Norges teknisk naturvitenskaplige universitet (NTNU) Tema Hvordan opplever brukere

Detaljer

Hvordan kan vi sikre oss at læring inntreffer

Hvordan kan vi sikre oss at læring inntreffer Hvordan kan vi sikre oss at læring inntreffer Morten Sommer 18.02.2011 Modell for læring i beredskapsarbeid Innhold PERSON Kontekst Involvering Endring, Bekreftelse og/eller Dypere forståelse Beslutningstaking

Detaljer

organisasjonsanalyse på tre nivåer

organisasjonsanalyse på tre nivåer organisasjonsanalyse på tre nivåer Makronivået -overordnede systemegenskaper- Mesonivået avgrensete enheter, avdelinger, kollektiver Mikronivået -individer og smågrupper- Høyere nivå gir rammer og føringer

Detaljer

Nøkkelen til en god oppgave En kort innføring i akademisk skriving og analyse

Nøkkelen til en god oppgave En kort innføring i akademisk skriving og analyse Nøkkelen til en god oppgave En kort innføring i akademisk skriving og analyse Til skriveseminar i regi av STiV 19.januar 2012 FoU-leder Lars Julius Halvorsen Hva kjennetegner akademisk skriving Viktige

Detaljer

Robuste organisasjoner - hvorfor ting går godt

Robuste organisasjoner - hvorfor ting går godt Robuste organisasjoner - hvorfor ting går godt Sevesokonferansen 2013, 11. 12. juni, Tønsberg Ranveig Kviseth Tinmannsvik, SINTEF Dette vil jeg snakke om Behov for mer robuste løsninger Eksempler på robuste

Detaljer

Risikoanalyse, kompleksitet og usikkerhet noen refleksjoner Kenneth Pettersen (UiS) Kenneth Pettersen, Universitetet i Stavanger 15.

Risikoanalyse, kompleksitet og usikkerhet noen refleksjoner Kenneth Pettersen (UiS) Kenneth Pettersen, Universitetet i Stavanger 15. Risikoanalyse, kompleksitet og usikkerhet noen refleksjoner Kenneth Pettersen (UiS) Kenneth Pettersen, Universitetet i Stavanger 15. mars 2016 Agenda fire tema Teknologidefinisjon System ulykker kompleksitet

Detaljer

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Samfunnssikkerhetskonferansen 6. januar 2016 Ruth Østgaard

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Innholdsfortegnelse. Bokens mål...16 Bokens tilnærming...17 Bokens innhold...17. 1 Organisasjonslæringens mange ansikter...21

Innholdsfortegnelse. Bokens mål...16 Bokens tilnærming...17 Bokens innhold...17. 1 Organisasjonslæringens mange ansikter...21 Innledning...15 Bokens mål...16 Bokens tilnærming...17 Bokens innhold...17 1 Organisasjonslæringens mange ansikter...21 Organisasjonslæring som den lærende organisasjon...25 Dobbeltkretslæring...26 Den

Detaljer

Mobilisering av kompetanse i hverdagen hver dag

Mobilisering av kompetanse i hverdagen hver dag Mobilisering av kompetanse i hverdagen hver dag STIKLESTAD DEN 15.10.15 Et forsøk på Hverdagsinnovasjon En modell som er noe nytt, men fortsatt usikker på om den er nyttig. Den er i allefall ikke nyttiggjort.

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst Menneskelige og organisatoriske risikofaktorer i en IO-kontekst The interplay between integrated operations and operative risk assessments and judgements in offshore oil and gas Doktoravhandling Siri Andersen

Detaljer

SIKRING i et helhetsperspektiv

SIKRING i et helhetsperspektiv SIKRING i et helhetsperspektiv Semac er eid av Nokas Group. Nokas er Nordens ledende sikkerhetskonsern med virksomhet i Norge, Sverige og Danmark. Konsernet leverer sikkerhetsløsninger til over 150.000

Detaljer

Innføring i sosiologisk forståelse

Innføring i sosiologisk forståelse INNLEDNING Innføring i sosiologisk forståelse Sosiologistudenter blir av og til møtt med spørsmål om hva de egentlig driver på med, og om hva som er hensikten med å studere dette faget. Svaret på spørsmålet

Detaljer

Bruk av IT i organisasjoner

Bruk av IT i organisasjoner Bruk av IT i organisasjoner Gruppetime INF3290 uke 37 kribrae@ifi.uio.no Agenda - Ordningslogikker i informasjonspraksiser en case fra hjertetransplantasjon (Grisot) - Subtle Redistribution of Work, Attention

Detaljer

Forskjellen mellom direkte og indirekte ledelse illustreres i figuren:

Forskjellen mellom direkte og indirekte ledelse illustreres i figuren: Eksamen sos 2018 Organisasjonsteori h16 Svar på to av de tre oppgavene. 1. Ledelse Forklar hva som menes med ledelse, og gjør rede for ulike innfallsvinkler for å studere ledelse. Drøft deretter forholdet

Detaljer

BARNS DELTAKELSE I EGNE

BARNS DELTAKELSE I EGNE BARNS DELTAKELSE I EGNE BARNEVERNSSAKER Redd barnas barnerettighetsfrokost 08.09.2011 Berit Skauge Master i sosialt arbeid HOVEDFUNN FRA MASTEROPPGAVEN ER DET NOEN SOM VIL HØRE PÅ MEG? Dokumentgjennomgang

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

IKT-sikkerhet som suksessfaktor

IKT-sikkerhet som suksessfaktor IKT-sikkerhet som suksessfaktor - med fokus på teknologi og kultur Jan Tobiassen Strategi og policy Nasjonal sikkerhetsmyndighet Agenda Nasjonal sikkerhetsmyndighet KIS og Nasjonal strategi for IT-sikkerhet

Detaljer

Lederskap for å skape relevans for framtiden 1

Lederskap for å skape relevans for framtiden 1 REGIONAL LEDERSAMLING - Salten «Helsefag for fremtiden Blodsukker.jpg Prognosene viser at det i 2030 vil være 40 000 jobber innen helse. Helsefag ved Bodø videregående er sitt ansvar bevisst. Derfor ble

Detaljer

Går det an å elske en forskrift?

Går det an å elske en forskrift? Går det an å elske en forskrift? - Om jernbanefolk og sikkerhetsregler Ragnar Rosness, SINTEF ragnar.rosness@sintef.no Etterlevelse av regler og prosedyrer hvorfor er det så vanskelig? ESRA-seminar, Hurdalssjøen

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Trustworthy computing, hva har det med tillit å gjøre?

Trustworthy computing, hva har det med tillit å gjøre? Trustworthy computing, hva har det med tillit å gjøre? Tom Lysemose Oslo, 20 September, 2006 1 Innhold Definisjon av tillit Aspekter ved tillit Trustworthy Computing Trust in Cyberspace Trustworthy Computing

Detaljer

Cyberspace og implikasjoner for sikkerhet

Cyberspace og implikasjoner for sikkerhet Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker

Detaljer

Hva skal til for å få til effektiv koordinering mellom bedrifter i store komplekse prosjekter?

Hva skal til for å få til effektiv koordinering mellom bedrifter i store komplekse prosjekter? Hva skal til for å få til effektiv koordinering mellom bedrifter i store komplekse prosjekter? Mange prosjekter kan kun gjennomføres ved at flere virksomheter samarbeider. I bygg- og anleggsprosjekter

Detaljer

Koordinatorskolen. Risiko og risikoforståelse

Koordinatorskolen. Risiko og risikoforståelse Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance

Detaljer

Digitalisering former samfunnet

Digitalisering former samfunnet Digitalisering former samfunnet Digitaliseringsstrategi for Universitetet i Bergen Vedtatt av universitetsstyret 20.oktober 2016 1 Innledning Denne digitaliseringsstrategien skal støtte opp om og utdype

Detaljer

Eleven som aktør. Thomas Nordahl 03.05.13

Eleven som aktør. Thomas Nordahl 03.05.13 Eleven som aktør Thomas Nordahl 03.05.13 Innhold Forståelse av barn og unge som handlende, meningsdannende og lærende aktører i eget liv Fire avgjørende spørsmål om engasjement og medvirkning Konsekvenser

Detaljer

Hvorfor går det galt?

Hvorfor går det galt? Hvorfor går det galt? Hvordan aktører i havbruksnæringen forklarer og håndterer uønskede hendelser 21.04.2010 Jørn Fenstad & Rolf Bye, Studio Apertura Hva omfatter sikkerhet? Personsikkerhet Drukning,

Detaljer

Høgskoleni østfold EKSAMEN. Oppgavesettet består av 7 oppgaver. Alle oppgavene skal besvares. Oppgavene teller som oppgitt ved sensurering.

Høgskoleni østfold EKSAMEN. Oppgavesettet består av 7 oppgaver. Alle oppgavene skal besvares. Oppgavene teller som oppgitt ved sensurering. Høgskoleni østfold EKSAMEN Emnekode: SFB10106 Emne: Organisasjonsteori Ny og utsatt eksamen Dato: 9.1.2015 Eksamenstid: kl. 9.00 til kl. 13.00 Hjelpemidler: Ingen Faglærer: Juliane Riese Eksamensoppgaven:

Detaljer

Skolens oppgave er å støtte hver elev slik at den enkelte opplever livet som trygt og meningsfylt

Skolens oppgave er å støtte hver elev slik at den enkelte opplever livet som trygt og meningsfylt Vedlegg 1 Elevsynet i høringsutkastet Eksempler hentet fra kap 1 Gjennom opplæringen skal elevene tilegne seg verdier som gir retning for deres livsutfoldelse, og de skal forberedes til å bli kloke og

Detaljer

Er omsorg viktig for å skape ny kunnskap? Marianne Rodriguez Nygaard

Er omsorg viktig for å skape ny kunnskap? Marianne Rodriguez Nygaard Er omsorg viktig for å skape ny kunnskap? Marianne Rodriguez Nygaard Struktur for faginnlegget Kunnskapsutvikling Ba? Omsorg, hva er det egentlig? Ofte snakker vi om hvor viktig det er med kunnskap for

Detaljer

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 Sissel H. Jore Sissel H. Jore -Hvem er jeg? Master og PhD Samfunnssikkerhet og risikostyring, UIS. Avhandlingens tittel:

Detaljer

Lærestiler. Vi mennesker lærer best på ulike måter. Her er fire lærestiler basert på Peter Honey og Alan Mumfords teorier.

Lærestiler. Vi mennesker lærer best på ulike måter. Her er fire lærestiler basert på Peter Honey og Alan Mumfords teorier. Lærestiler Hurtigguider - rammeverk Sist redigert 19.04.2009 Vi mennesker lærer best på ulike måter. Her er fire lærestiler basert på Peter Honey og Alan Mumfords teorier. Marianne Nordli Trainer og coach

Detaljer

Bokens overordnede perspektiv

Bokens overordnede perspektiv Kapittel 1 Bokens overordnede perspektiv Monica Storvik Organisasjonsteori Organisasjonsteorien har til hensikt å forklare: Hvordan virkeligheten ser ut. Hvordan den henger sammen. Teorien bygger på innsamling

Detaljer

Taking Preferences Seriously: A liberal Theory of international politics Andrew Moravcsik

Taking Preferences Seriously: A liberal Theory of international politics Andrew Moravcsik Taking Preferences Seriously: A liberal Theory of international politics Andrew Moravcsik Oppsummert av Birger Laugsand, vår 2005 Liberal International Relations (IR) teori bygger på innsikten om staters

Detaljer

Organisasjonsutvikling som kulturarbeid

Organisasjonsutvikling som kulturarbeid Organisasjonsutvikling som kulturarbeid Fagutvikling kan være innføring av nye tiltak eller evaluering og justeringer av etablerte tiltak. Fagutvikling kan også være innføring av nye metoder eller det

Detaljer

Ledelse i skolen. Krav og forventninger til en rektor

Ledelse i skolen. Krav og forventninger til en rektor Ledelse i skolen Krav og forventninger til en rektor Innledning Skoleledelsen, med rektor i spissen, kan ha stor positiv innvirkning på læringsmiljøet og elevenes læringsutbytte. Dette forutsetter utøvelse

Detaljer

Sammenheng mellom læringsutbyttebeskrivelse og vurdering. Christian Jørgensen

Sammenheng mellom læringsutbyttebeskrivelse og vurdering. Christian Jørgensen Sammenheng mellom læringsutbyttebeskrivelse og vurdering Christian Jørgensen Bio100 - Fire deleksamener Deleksamen Maks poeng 1: Flervalg og kortsvar 20 2: Regneøvelse i Excel med rapport 20 3: Presentasjon

Detaljer

Artikkel 4 Unntak Direktivet skal ikke gjelde visse anlegg, farer eller aktiviteter.

Artikkel 4 Unntak Direktivet skal ikke gjelde visse anlegg, farer eller aktiviteter. Dette jobbhjelpemiddelet er ikke en fullstendig kopi av Seveso ll-direktivet. Innholdet har blitt konsolidert for kortfattethet og bør ikke brukes som referanse når det utføres oppgaver relatert til Seveso-samsvar.

Detaljer

Organisering av kunnskapssektoren innspill fra BIBSYS

Organisering av kunnskapssektoren innspill fra BIBSYS 1 av 4 Deres dato 14. nov. 2016 Deres referanse 16/5526 Kunnskapsdepartementet Organisering av kunnskapssektoren innspill fra BIBSYS Kunnskapsdepartementets (KD) notat om organisering av kunnskapssektoren

Detaljer

Innovasjonsplattform for UiO

Innovasjonsplattform for UiO Det matematisk-naturvitenskapelige fakultet Universitetet i Oslo Til: MN- fakultetsstyret Sakstype: Orienteringssak Saksnr.: 29/15 Møtedato: 19.10.15 Notatdato: 08.10.15 Saksbehandler: Morten Dæhlen Sakstittel:

Detaljer

Mennesker fornyer Slik endrer digitaliseringen Norge klarer stat og kommune å følge med? Vidar Lødrup, direktør kunnskapsledelse, 11.2.

Mennesker fornyer Slik endrer digitaliseringen Norge klarer stat og kommune å følge med? Vidar Lødrup, direktør kunnskapsledelse, 11.2. Mennesker fornyer Slik endrer digitaliseringen Norge klarer stat og kommune å følge med? Vidar Lødrup, direktør kunnskapsledelse, 11.2.14 Abelia landsforeningen for kunnskaps- og teknologibedrifter i NHO

Detaljer

views personlig overblikk over preferanser

views personlig overblikk over preferanser views personlig overblikk over preferanser Kandidat: Ola Nordmann 20.05.2005 Rapport generert: 21.07.2006 cut-e norge as pb. 7159 st.olavsplass 0130 OSLO Tlf: 22 36 10 35 E-post: info.norge@cut-e.com www.cut-e.no

Detaljer

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal FFI-forum 16. juni 2015 Oppdrag Vurdere to tilnærminger til risikovurdering som FB bruker Gi en oversikt

Detaljer

Læreplan i informasjonsteknologi - programfag i studiespesialiserende utdanningsprogram

Læreplan i informasjonsteknologi - programfag i studiespesialiserende utdanningsprogram Læreplan i informasjonsteknologi - programfag i studiespesialiserende utdanningsprogram Fastsatt som forskrift av Utdanningsdirektoratet 3. april 2006 etter delegasjon i brev 26. september 2005 fra Utdannings-

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

FRA STYKKEVIS OG DELT SKOLEN I ET SYSTEMPERSPEKTIV

FRA STYKKEVIS OG DELT SKOLEN I ET SYSTEMPERSPEKTIV FRA STYKKEVIS OG DELT SKOLEN I ET SYSTEMPERSPEKTIV SKOLEN SOM SYSTEM SKOLEN SOM SOSIO-TEKNISK SYSTEM SKOLEN SOM PRODUKSJONSSYSTEM BESTÅENDE AV DELER SOM ER GJENSIDIG AVHENGIGE DELENE UTGJØR EN HELHET SKOLEN

Detaljer

Høringssvar til forskrift om ny Rammeplan for barnehagens innhold og oppgaver

Høringssvar til forskrift om ny Rammeplan for barnehagens innhold og oppgaver Til Det Kongelige Kunnskapsdepartement Dato:18.01.2017 Antall sider, inkl. denne: 5 Deres ref: 16/7240 Vår ref: 16/00128 Høringssvar til forskrift om ny Rammeplan for barnehagens innhold og oppgaver Senter

Detaljer

Building Safety et samarbeid for utvikling av robuste organisasjoner

Building Safety et samarbeid for utvikling av robuste organisasjoner Building Safety et samarbeid for utvikling av robuste organisasjoner Møte i HFC-forum, Oslo, 1. og 2. oktober 2008 Ranveig Kviseth Tinmannsvik, SINTEF 1 Målsetting med prosjektet Å utvikle kunnskap for

Detaljer

Barrierer Begrensninger og muligheter

Barrierer Begrensninger og muligheter Barrierer Begrensninger og muligheter Petroleumtilsynets Fagdag om barrierer Sondre Øie, Senior Engineer 5. mai 2017 1 SAFER, SMARTER, GREENER Om presentasjonen Kort om meg Budskapet Begrensninger Muligheter

Detaljer

BARE BARNEHAGE? En kvalitativ studie om barnehagemyndighetens posisjon, rolle og makt i kommunene

BARE BARNEHAGE? En kvalitativ studie om barnehagemyndighetens posisjon, rolle og makt i kommunene BARE BARNEHAGE? En kvalitativ studie om barnehagemyndighetens posisjon, rolle og makt i kommunene Masteroppgave i førskolepedagogikk NTNU 2011 Gro Toft Ødegård Vanskelighetene med å finne fram til den

Detaljer

Endringer i ISO-standarder

Endringer i ISO-standarder Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter

Detaljer

HMS-kultur i en globalisert virksomhet Mulighetsrom eller begrensningsrom?

HMS-kultur i en globalisert virksomhet Mulighetsrom eller begrensningsrom? HMS-kultur i en globalisert virksomhet Mulighetsrom eller begrensningsrom? Jorunn Tharaldsen, RF-Rogalandsforskning Lars Bodsberg, Sintef Bevegelig kapital Bevegelig arbeidskraft Endrede kommunikasjons-

Detaljer

Høringssvar på pasientorientert organisering

Høringssvar på pasientorientert organisering Høringssvar på pasientorientert organisering Fra IKT-sjef Per Olav Skjesol Dette innspillet er fra IKT-sjef og ikke et innspill fra IT-anvendelse. Forslaget er å etablere virksomhetsutvikling som et eget

Detaljer

FORMEL Linda Hoel mener både politikerne og etaten selv, har mye å lære av den praktiske erfaringen politifolk gjør seg i hverdagen.

FORMEL Linda Hoel mener både politikerne og etaten selv, har mye å lære av den praktiske erfaringen politifolk gjør seg i hverdagen. 30 LØFT FRAM PRAKTISK POLITIARBEID SYSTEMATISER ERFARINGSLÆRINGEN VERN OM DEN GODE DIALOGEN VERDSETT ENGASJEMENT OG FØLELSER FORSKERENS FORMEL Linda Hoel mener både politikerne og etaten selv, har mye

Detaljer

Edb-støttet samarbeid: hva er det?

Edb-støttet samarbeid: hva er det? Edb-støttet samarbeid: hva er det? utvikling av edb-støtte til samarbeid og kommunikasjon mellom mennesker, knyttet til samordning og utførelse av arbeidsoppgaver i en organisasjon. fagfeltet edb-støttet

Detaljer

Årsplan for Nordre Åsen Kanvas-barnehage 2015-2017. nordreaasen@kanvas.no

Årsplan for Nordre Åsen Kanvas-barnehage 2015-2017. nordreaasen@kanvas.no Årsplan for Nordre Åsen Kanvas-barnehage 2015-2017 1 Innhold Kanvas pedagogiske plattform... 3 Kanvas formål... 3 Små barn store muligheter!... 3 Menneskesyn... 3 Læringssyn... 4 Kanvas kvalitetsnormer...

Detaljer

Klasseledelse med IKT: Hvem har regien læreren, elevene eller digitale medier?

Klasseledelse med IKT: Hvem har regien læreren, elevene eller digitale medier? Klasseledelse med IKT: Hvem har regien læreren, elevene eller digitale medier? Presentasjon for Skolen i digital utvikling - Skolelederkonferansen 14. og 15. november 2013 Førsteamanuensis Monica Johannesen

Detaljer

Kommunikasjon og samspill mellom pårørende og fagpersoner i en ansvarsgruppe

Kommunikasjon og samspill mellom pårørende og fagpersoner i en ansvarsgruppe Kommunikasjon og samspill mellom pårørende og fagpersoner i en ansvarsgruppe Margunn Rommetveit Høgskolelektor Høgskolen i Bergen Avdeling for Helse og Sosialfag Institutt for sosialfag og vernepleie Kommunikasjon

Detaljer

Ville ikt anno 2016 ha hjulpet Guro?

Ville ikt anno 2016 ha hjulpet Guro? Ville ikt anno 2016 ha hjulpet Guro? Er helse- og omsorgssektoren i posisjon for digitalisering? Peter Hidas, Gartner ehelse konferansen April 2016 Vi er på vei inn i den tredje store ikt-epoken Internett

Detaljer

Integrerte operasjoner Noen utfordringer i et myndighetsperspektiv

Integrerte operasjoner Noen utfordringer i et myndighetsperspektiv Integrerte operasjoner Noen utfordringer i et myndighetsperspektiv Innhold Integrerte operasjoner Perspektivet IKT sikkerhet Hvordan ta høyde for det usannsynlige HMS i et IO perspektiv Hvordan kan IO

Detaljer

Profesjonelt kunnskapsarbeid i en byråkratisk kontekst. Prof. Thomas Hoff Psykologisk institutt Universitetet i Oslo

Profesjonelt kunnskapsarbeid i en byråkratisk kontekst. Prof. Thomas Hoff Psykologisk institutt Universitetet i Oslo Profesjonelt kunnskapsarbeid i en byråkratisk kontekst Prof. Thomas Hoff Psykologisk institutt Universitetet i Oslo NOCM 22. september 2013 FOA seminar Prof.Dr. Thomas Hoff 3 22. september 2013 FOA seminar

Detaljer

Fra flis i fingeren til ragnarok. En innledning

Fra flis i fingeren til ragnarok. En innledning Fra flis i fingeren til ragnarok. En innledning Stian Lydersen NTNU stian.lydersen@medisin.ntnu.no Tittelen på denne boka henspeiler på at sikkerhet handler om å unngå alt fra enkle arbeidsulykker («flis

Detaljer

Understanding innovation in a globalizing economy: the case of Norway. Globally distributed knowledge networks Workpackage 2

Understanding innovation in a globalizing economy: the case of Norway. Globally distributed knowledge networks Workpackage 2 Understanding innovation in a globalizing economy: the case of Norway Globally distributed knowledge networks Workpackage 2 Hvorfor fokusere på globale kunnskaps/verdinettverk? 1. Strukturelle endringer

Detaljer

VIRKSOMHETSPLAN 2014-2017

VIRKSOMHETSPLAN 2014-2017 VIRKSOMHETSPLAN 2014-2017 Gjelder fra november 2014 til november 2017 Innhold Innledning... 3 Vårt slagord... 3 Visjon... 3 Vår verdiplattform... 3 Lek og læring... 4 Vennskap... 5 Likeverd... 6 Satsningsområder...

Detaljer

MEVIT1700 Seminargruppe 4 Gruppe C

MEVIT1700 Seminargruppe 4 Gruppe C MEVIT1700 Seminargruppe 4 Gruppe C Multimedialitet og multimodalitet 5. august 2007 Multimedialitet Begrepet om multimedialitet er, ifølge Liestøl og Rasmussen (2007), det faktum at uttrykkselementene

Detaljer

Strategier 2010-2015. StrategieR 2010 2015 1

Strategier 2010-2015. StrategieR 2010 2015 1 Strategier 2010-2015 StrategieR 2010 2015 1 En spennende reise... Med Skatteetatens nye strategier har vi lagt ut på en spennende reise. Vi har store ambisjoner om at Skatteetaten i løpet av strategiperioden

Detaljer

Prosjektet er verktøy

Prosjektet er verktøy Posisjonering - temaer og muligheter innen diskusjonen om organisasjons identitet The Mead brukes av Hatch og Schultz 2002 i organisasjonssetting, presentasjon av hovedprinsippene til Mead, Hatch og Schultz

Detaljer

Digitalt førstevalg hva innebærer det i praksis Arild Jansen, AFIN/SERI, UiO

Digitalt førstevalg hva innebærer det i praksis Arild Jansen, AFIN/SERI, UiO Digitalt førstevalg hva innebærer det i praksis? (Rettslige spørsmål blir i liten grad berørt) Arild Jansen Avdeling for forvaltningsinformatikk/ Senter for rettsinformatikk, UIO http://www.afin.uio.no/

Detaljer

PEDAGOGISK PLATTFORM

PEDAGOGISK PLATTFORM PEDAGOGISK PLATTFORM 2015 2018 BREDSANDKROKEN BARNEHAGE Innledning: I 2012 startet barnehagen opp et stort endrings- og utviklingsarbeid. Personalet lot seg da inspirere av Reggio Emilia filosofien og

Detaljer

Kan cyber-risiko forsikres?

Kan cyber-risiko forsikres? Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn Informasjonssikkerhet

Detaljer

Utviklingsprosjekt. Prosjektveiledning

Utviklingsprosjekt. Prosjektveiledning Utviklingsprosjekt Prosjektveiledning Juni 2011 Målsetting Utviklingsprosjektet skal bidra til utvikling både av deltakeren og hennes/hans organisasjon gjennom planlegging av et konkret endringsprosjekt

Detaljer

Kritisk refleksjon. Teorigrunnlag

Kritisk refleksjon. Teorigrunnlag Kritisk refleksjon tekst til nettsider Oppdatert 14.01.16 av Inger Oterholm og Turid Misje Kritisk refleksjon Kritisk refleksjon er en metode for å reflektere over egen praksis. Den bygger på en forståelse

Detaljer

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater Sikkerhetsledelse et løpende og langsiktig arbeid - Som ikke alltid gir raske resultater Innhold Fem overordnede prinsipper for sikkerhetsledelse Six impossible things before breakfast Og en oppsummerende

Detaljer

Sorte svaner Hvordan håndterer vi usikkerhet? Terje Aven Universitetet i Stavanger

Sorte svaner Hvordan håndterer vi usikkerhet? Terje Aven Universitetet i Stavanger Sorte svaner Hvordan håndterer vi usikkerhet? Terje Aven Universitetet i Stavanger Risikostyring Det arbeid vi gjør og hvilke beslutninger vi tar Hindre ulykker, skader og tap Balansere ulike hensyn Risikostyring

Detaljer

Interorganisatoriske IKT-systemer og tverrsektorielt samarbeid Organisatoriske og rettslige barriere

Interorganisatoriske IKT-systemer og tverrsektorielt samarbeid Organisatoriske og rettslige barriere Forskning for innovasjon innen eforvaltning 4 mai 2007 Interorganisatoriske IKT-systemer og tverrsektorielt samarbeid Organisatoriske og rettslige barriere Innledning bakgrunn for forprosjektet Problemstillingene

Detaljer

Frivillighetserklæringen. erklæring for samspillet mellom regjeringen og frivillig sektor

Frivillighetserklæringen. erklæring for samspillet mellom regjeringen og frivillig sektor Frivillighetserklæringen erklæring for samspillet mellom regjeringen og frivillig sektor Forord Formål Frivilligheten er en stor og selvstendig del av vårt samfunn som gir en merverdi til den som bidrar

Detaljer

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes Kort presentasjon til NFR WS.mars 005 NTNU Forskningsprogram for informasjonssikkerhet Stig F. Mjølsnes Utfordring and response Vårt samfunn krever i økende grad at IKT-systemer for seriøs virksomhet er

Detaljer

Strategi for innovasjon i Helse Midt-Norge

Strategi for innovasjon i Helse Midt-Norge Strategi for innovasjon i Helse Midt-Norge 2015-2020 Innledning Helsetjenesten står overfor en rekke utfordringer de nærmeste årene. I Helse Midt-Norges «Strategi 2020» er disse identifisert som: 1. Befolkningens

Detaljer

Organisatorisk læring av alvorlige hendelser

Organisatorisk læring av alvorlige hendelser Organisatorisk læring av alvorlige hendelser Sikkerhetsforums årskonferanse 3. juni 2010 Siri Wiig Petroleumstilsynet Agenda Kort om organisatorisk læring Granskning som et verktøy for organisatorisk læring

Detaljer

Hva er en innovasjon? Introduksjonsforelesning TIØ4258. Hvorfor er innovasjoner viktige? Hva er en innovasjon (II) Forslag?

Hva er en innovasjon? Introduksjonsforelesning TIØ4258. Hvorfor er innovasjoner viktige? Hva er en innovasjon (II) Forslag? 1 2 Hva er en innovasjon? Introduksjonsforelesning TIØ4258 Forslag? Ola Edvin Vie Førsteamanuensis NTNU 3 Hva er en innovasjon (II) Nye produkter Nye tjenester Nye prosesser og rutiner Nye ideer Nye markeder

Detaljer

Endres samfunnet vesentlig av terrorhandlinger og trusler?

Endres samfunnet vesentlig av terrorhandlinger og trusler? Konferanse og innspillsdugnad om forskning på ekstremisme og terrorisme 18.juni 2015 Endres samfunnet vesentlig av terrorhandlinger og trusler? Dr. Sissel H. Jore Senter for Risikostyring og Samfunnssikkerhet

Detaljer

Emosjoner, stress og ledelse

Emosjoner, stress og ledelse Emosjoner, stress og ledelse Foredrag Dekanskolen Sem Gjestegård 5. mars 2014 Ole Asbjørn Solberg Konsulent/Phd Ledelse Mål/oppgaver Ressurser Folk Ledelse i 2 dimensjoner Fokus på mennesker og sosiale

Detaljer

Risikobilder kunstneriske uttrykk eller fotografisk sannhet? Stein Haugen Professor II, NTNU / FoU-sjef Safetec Stein.haugen@safetec.

Risikobilder kunstneriske uttrykk eller fotografisk sannhet? Stein Haugen Professor II, NTNU / FoU-sjef Safetec Stein.haugen@safetec. Risikobilder kunstneriske uttrykk eller fotografisk sannhet? Stein Haugen Professor II, NTNU / FoU-sjef Safetec Stein.haugen@safetec.no Oversikt over foredraget Hva skal vi bruke risikobildet til? Hva

Detaljer

DESIGNSTRATEGI I MØTET MED EN ORGANISASJON

DESIGNSTRATEGI I MØTET MED EN ORGANISASJON DESIGNSTRATEGI I MØTET MED EN ORGANISASJON John Richard Hanssen Trondheim, 14. januar 2014 14.01.2014 Medlem i Atelier Ilsvika og Skapende sirkler. Begge virksomhetene (samvirkene) er tverrfaglige i grenselandet

Detaljer

Eksamensoppgave i PSY2018/PSYPRO4318 Kvalitative forskningsmetoder

Eksamensoppgave i PSY2018/PSYPRO4318 Kvalitative forskningsmetoder Psykologisk institutt Eksamensoppgave i PSY2018/PSYPRO4318 Kvalitative forskningsmetoder Faglig kontakt under eksamen: Eva Langvik Tlf.: 73 59 19 60 Eksamensdato: 04.06.2015 Eksamenstid (fra-til): 09:00

Detaljer

Verktøy for forretningsmodellering

Verktøy for forretningsmodellering Verktøy for forretningsmodellering Referanse til kapittel 12 Verktøyet er utviklet på basis av «A Business Modell Canvas» etter A. Osterwalder og Y. Pigneur. 2010. Business Model Generation: A Handbook

Detaljer

Ved KHiB brukes åtte kriterier som felles referanseramme for vurdering av studentenes arbeid ved semestervurdering og eksamen:

Ved KHiB brukes åtte kriterier som felles referanseramme for vurdering av studentenes arbeid ved semestervurdering og eksamen: VURDERING OG EKSAMEN I KHiBS BACHELORPROGRAM I KUNST 1. Introduksjon til vurderingskriteriene I kunst- og designutdanning kan verken læring eller vurdering settes på formel. Faglige resultater er komplekse

Detaljer

Arv og miljø i stadig endring. Per Holth. professor, Høgskolen i Akershus

Arv og miljø i stadig endring. Per Holth. professor, Høgskolen i Akershus Arv og miljø i stadig endring Per Holth professor, Høgskolen i Akershus Hvis målet er å skape debatt, har Harald Eia hatt stor suksess med TV-serien Hjernevask på NRK. Men hvis suksessen skal måles i hva

Detaljer

Strategi 2020. for. Høgskolen i Oslo og Akershus. Ny viten, ny praksis

Strategi 2020. for. Høgskolen i Oslo og Akershus. Ny viten, ny praksis Strategi 2020 for Høgskolen i Oslo og Akershus Visjon Ny viten, ny praksis HiOA har en ambisjon om å bli et universitet med profesjonsrettet profil. Gjennom profesjonsnære utdanninger og profesjonsrelevant

Detaljer

Tjenesteorientert arkitektur hvordan statistikkproduksjonen støttes og forbedres av en tilpasset IT arkitektur

Tjenesteorientert arkitektur hvordan statistikkproduksjonen støttes og forbedres av en tilpasset IT arkitektur 14. juni 2010 Tjenesteorientert arkitektur hvordan statistikkproduksjonen støttes og forbedres av en tilpasset IT arkitektur Lill Kristoffersen lill.kristoffersen@ssb.no Statistisk sentralbyrå IKT Abstract:

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer