17. Gammeldags tenkning i moderne organisasjoner?

Størrelse: px
Begynne med side:

Download "17. Gammeldags tenkning i moderne organisasjoner?"

Transkript

1 17. Gammeldags tenkning i moderne organisasjoner? Om IKT-sikkerhet i kunnskapsorganisasjoner Eirik Albrechtsen Institutt for industriell økonomi og teknologiledelse, NTNU Tor Olav Grøtan SINTEF Innledning IKT-sikkerhet er ikke er et rent teknologisk fagfelt. Ivaretakelse av menneskelige, administrative og organisatoriske aspekter er nødvendig for å sikre en helhetlig og meningsfull tilnærming til sikkerhet ved anvendelse og nyttiggjøring av IKTsystemer. Artikkelen er derfor skrevet med et organisatorisk fokus og utgangspunkt. Hensikten er å reise og utdype følgende spørsmål: Er dagens tradisjonelle tilnærming til IKT-sikkerhet hensiktsmessig for dagens og morgendagens moderne, kunnskapsintensive, nettverksorienterte og virtuelle organisasjoner? Fagområdet vi går inn i, kalles vekselvis datasikkerhet, informasjonssikkerhet, IT-sikkerhet og IKT-sikkerhet. Vi vil her benytte oss av betegnelsen IKT-sikkerhet 1. Fagområdet betegnes oftest som security til forskjell fra safety. Det er 1 ISO standarden Information technolgy Code of practice for information security management definerer IKT-sikkerhet (informasjonssikkerhet) som beskyttelse av informasjons konfidensialitet, integritet og tilgjengelighet. Herunder beskyttelse av IKT-systemer og informasjon både i og utenfor IKT-systemene. 335

2 17. Gammeldags tenkning i moderne organisasjoner? vanskelig å skille security-begrepet klart fra safety-begrepet, men de har ulike tyngdepunkt. Security forbindes med beskyttelse mot tilsiktede og ondsinnete handlinger, mens safety forbindes med beskyttelse mot ulykker, feilhandlinger og teknisk svikt. IKT-sikkerhet har tradisjonelt fokusert på tilsiktede, ondsinnete handlinger, f.eks. hacking, noe som reflekteres i den mest benyttete engelske betegnelsen på fagområdet: information security. Vi har i denne teksten tolket IKT-sikkerhet som både en security og safety utfordring. Det er en konseptuell forskjell mellom data, informasjon og kunnskap. Tidligere snakket man om databehandling, nå snakkes det heller om f.eks. kunnskapsdeling. Dette har sammenheng med at det stadig forventes mer av IKT. Vår påstand og vårt utgangspunkt er at fagfeltets dominante logikk og rådende paradigmer ble født i og fremdeles befinner seg i en datakontekst. Å bringe det over i en informasjonskontekst krever mer enn å skifte navn fra datasikkerhet til informasjonssikkerhet. Overgangen til en kunnskapskontekst er enda mer dramatisk og krevende. En eventuell kunnskapssikkerhet vil bevege seg inn på områder som tradisjonelt har blitt belyst gjennom begreper som f.eks. brukervennlighet og funksjonalitet. Teksten er bygd opp på følgende måte: I neste kapittel vil vi beskrive hva vi legger i begrepet kunnskapsorganisasjoner. Deretter beskrives IKT-sårbarhet på tre nivåer relatert til 1) IKT som generelt verktøy, 2) «business automation», og 3) hvordan takle det uventede. Vi argumenterer for at virksomheter befinner seg i en skjør tilstand hvor små feil kan føre til store, uønskede hendelser. Videre beskrives hvordan fagfeltet tradisjonelt har håndtert trusler og sårbarheter. Med utgangspunkt i den tradisjonelle tilnærmingen og de tre nivåene av sårbarhet drøftes mulige svakheter og utfordringer, samt mulige løsninger for å kunne håndtere IKT-sårbarhet i kunnskapsorganisasjoner. Kapittelet konkluderer med at det er behov for at fagområdet IKT-sikkerhet åpner opp for nye perspektiver på organisasjon og ledelse, f.eks. relatert til dynamiske, kunnskapsintensive organisasjoner, organisasjoner som kultur og organisasjoner bestående av ulike, ressurssterke mennesker. Kunnskapsorganisasjoner Mange uttrykk blir benyttet for å beskrive dagens og morgendagens IKT-baserte organisasjoner. For å nevne noen: kunnskaps-, kunnskapsintensive, kunnskapsavhengige, moderne, fremtidige, virtuelle og imaginære organisasjoner. De fleste av dagens organisasjoner bruker i større eller mindre grad IKTsystemer. Utnyttelse av fordeler ved IKT-systemene skaper nye organisasjonsformer. En av disse nye organisasjonsformene er kunnskapsorganisasjonen, som denne artikkelen fokuserer på. Disse kan kjennetegnes blant annet ved 336

3 Eirik Albrechtsen og Tor Olav Grøtan prosjektorientering i nærkontakt med markedet og systematisk kunnskapsdeling og innovasjon (Klev og Carlsen 2002). Det siste punktet er kjernen i kunnskapsintensive bedrifters produksjonsprosesser og kan utdypes i tre grener: 1) bruk av teknologi til systematisk kunnskapsdeling, 2) selvstyrt, uformell og fleksibel koordinering, men også noen aktiviteter som er underlagt fastlagte rutiner, og 3) samhandling på prosjekter på tvers av faggrenser og fysiske steder. Slike virksomheter har i mindre grad en fast organisasjon i forhold til arbeidsoppgaver, men er under kontinuerlig endring. Informasjon, kunnskap og kommunikasjon, samt de tekniske mediene som brukes, er en sentral, bærende og premissgivende del av organiseringen. En slik organisering fokuserer på relasjonelle ferdigheter, kommunikativ kompetanse, lagarbeid, allsidig kunnskapsgrunnlag, og sosiale, kulturelle og intellektuelle verdier. Samspill med andre og med teknologiske hjelpemidler er en essensiell del av organiseringen. Situasjonen er omskiftelig. Vår drøfting og forståelse av IKT-sikkerhet i kunnskapsorganisasjonen impliserer ikke at den kan beskrives og fanges i en entydig form eller modell. Kunnskapsorganisasjoner må heller forstås som en betegnelse på en type organisasjoner som er under kontinuerlig utvikling, der IKT er en av driverne for utvikling. Slike utviklingsprosesser kan vi studere f.eks. i offshorenæringen (edrift), helsevesenet (helhetlige pasientforløp) og i konsulentbransjen. IKT-sårbarhet i tre nivåer Den IKT-relaterte sårbarheten er i stadig utvikling. Vi skisserer her en grov og skjematisk inndeling av denne utviklingen, i tre nivåer. Hensikten er ikke å gi den hele, fulle og balanserte historie, men å trekke fram noen poenger vi mener er relevante for fremtidens IKT-sikkerhet. Merk at vi her omtaler sårbarheten i sin ytterste konsekvens, og ikke drøfter mottiltak inngående. Nivåene er formulert ut fra et virksomhetsperspektiv, men kan også utvides til et samfunnsperspektiv. Sårbarhetsnivå 1: IKT som generelt verktøy IKT er et verktøy som virksomheter er blitt mer og mer avhengig av. Hvis dette svikter eller tapes, mister i ytterste konsekvens organisasjonen sin historie og er så å si bombet tilbake til steinalderen. IKT har blitt en av de viktigste bærebjelkene i dagens samfunn, og en svikt i disse er en av de alvorligste sårbarhetene i dagens samfunn (NOU 2000). 337

4 17. Gammeldags tenkning i moderne organisasjoner? Etablerte begreper med hensyn til ulike beskyttelsesmål (konfidensialitet, integritet og tilgjengelighet 2 ) stammer fra dette grunnleggende sårbarhetsnivået. De er avledet fra og representerer temmelig ulike motiver og interesser. Men så lenge at det er IKT-systemer og data (ikke prosesser, produkter og resultater) som er hovedperspektivet, synes en rimelig balanse mellom de ulike beskyttelsesbehovene å være inne rekkevidde. Konseptet «trusted systems» oppstod også i dette perspektivet. Det fremstår som en rasjonell målsetting å lage IKT-systemer som beskytter data/informasjon i henhold til en prinsipiell, formalisert logikk, f.eks. graderingsnivåer. Alt dette på en så gjennomført og solid måte at sikkerheten ikke skal trues nevneverdig av hva mer eller mindre forsvarlige brukere kan «finne på». Sårbarhetsnivå 2: «Business-automation» IKT-utviklingen de senere år har et klart preg av at sentrale prosesser (verdikjeder) i og mellom virksomheter ikke bare forutsetter at IKT-infrastruktur og data/informasjon er tilstede, men at sentrale funksjoner og tjenester (ledd i verdikjeden) automatiseres gjennom IKT. Med dette oppstår en ny type sårbarhet i måten IKT skaper og setter rammer for organisasjonsstrukturer/-modeller. Det blir en meget betydelig utfordring å definere informasjonsmodeller og lage fullverdige beskrivelser over komplekse samhandlingsmønstre, funksjonsområder og saksområder. Lista blir lagt høyere og fallet blir langt mer alvorlig. På dette nivået skjerpes sakte men sikkert tonen mellom konfidensialitet på den ene side og integritet/tilgjengelighet på den andre. Informasjonsbehovet i viktige prosesser (kjeder) kan synes umettelig. Pålegget med hensyn til kvalitet, effektivitet og HMS-systemer er sterkt. Bekymringene sett fra f.eks. et personvernperspektiv øker. Et begrep som «de gode hensikters tyranni» avspeiler en frustrasjon over et sluttresultat som er utilfredsstillende, samtidig som at byggesteinene hver for seg er vanskelige å kritisere. Virksomhetsgrensene blir en viktig kontrollpost for å ivareta konfidensialiteten, men dette utfordres stadig av ønsket om å effektivisere samhandlingen mellom ulike virksomheter innen en sektor. IKT-systemene blir stadig mer komplekse og integrerte. De endres/vedlikeholdes kontinuerlig, og det blir stadig vanskeligere å garantere for at de virker på en bestemt måte over tid. Forventningen til IKT-sikkerhet dreies i mer pragmatisk retning knyttet opp mot IKT-systemenes evne til å understøtte en konkret 2 IKT-sikkerhet blir vanligvis definert som sikring av data/informasjons konfidensialitet, integritet og tilgjengelighet. ISO definerer begrepene slik: Konfidensialitet defineres som sikring av at informasjon er aksesserbar bare for de som er autorisert til å ha adgang til den. Integritet er å verne nøyaktigheten og fullstendigheten av informasjon og behandlingsmetoder. Tilgjengelighet skal sikre at autoriserte brukere har tilgang til informasjon og tilknyttet utstyr 338

5 Eirik Albrechtsen og Tor Olav Grøtan prosess og konkrete problemstillinger, og mindre mot en prinsipiell beskyttelse av data. Samtidig øker interessen for rollekonsepter og -skjema, som i betydelig grad forutsetter en mekanistisk, prosessorientert organisasjonsforståelse. Sårbarhetsnivå 3: Hvordan takle det uventede En vellykket «business automation» er, som vi har sett på nivå 2, en utfordring i seg selv med hensyn til god nok modellering og beskrivelse. Det skapes en ny type sårbarhet som er nært knyttet til selve tilnærmingen/metoden. En kompleks data- eller informasjonsmodell kan bare forstås av eksperter. Datamodeller er heller ikke spesielt velegnet for å fange opp det uventede, den tause kunnskapen, den nye innsikten og erfaringen, eller den subtile sammenhengen. Forutsetningen for rollebaserte strategier kan med dette betviles. Samhandlingen kan bli så kompleks og dynamisk at rollebeskrivelsen blir uhåndterlig i praksis og dermed setter virksomheter i en sårbar tilstand. Overgangen fra nivå 2 til nivå 3 er innfløkt. Det som først og fremst skiller dem, er at nivå 2 fokuserer på sårbarhet i faste informasjons- og organisasjonsmodeller, mens nivå 3 fokuserer på sårbarhet i samspillet mellom ulike roller i modellene. Samtidig er grunnlaget for tillit (trust) til IKT-systemene forvitret. I CIST (1999:189) beskrives denne utfordringen slik: «The combination of more open and decentralized networking environments and an increasing use of electronic communications and transactions suggest an increasing demand for major business automation systems. This continuing decentralization may render less and less applicable the concepts of control inherent in traditional approaches to security, reliability, and safety. In particular, there will be an increasing need for more individuals to be able to make trustworthiness judgements on an ad-hoc, real time basis». Data, informasjon og kunnskap I presentasjonen av de tre sårbarhetsnivåene har vi brukt begrepene data, informasjon og kunnskap. Disse begrepene er nært knyttet til hverandre, men er på ingen måte synonyme (selv om de ofte blir brukt om hver andre). Særlig begrepet kunnskap kan forstås på mange vis. Meningsfulle grenseoppganger vil variere avhengig av om vi snakker om taus eller eksplisitt kunnskap, om kvalitativ eller kvantitativ informasjon, om vi sverger til kunnskap som objektiv, generell og allmenngyldig, nøytral og eksakt, knyttet til hjerne og refleksjon, lagret og statisk, eller om vi aksepterer et kunnskapssyn som i større grad vektlegger at kunnskap er situasjonsavhengig, lokal, knyttet til kontekst, og kropp, formålsdrevet, levende, selvmodifiserende og omtrentlig (Carlsen 2002). Vi skal ikke diskutere 339

6 17. Gammeldags tenkning i moderne organisasjoner? distinksjonene videre her. Vårt poeng her er at IKT-sikkerhet har et taust, og kanskje ubevisst, forhold til slike distinksjoner. På sårbarhetsnivå 1 er det heller ikke nødvendig å skille mellom de tre begrepene. På sårbarhetsnivå 2 derimot, skjer det en relativt ubemerket forskyvning fra data til informasjon. Et eksempel illustrerer dette: Begrepet integritet defineres på høyst ulike måter i ulike regelverk og standarder, f.eks. i Personopplysningsforskriften(POF) og ISO Forskjellen kan forstås som en datakontekst (POF) versus en informasjonskontekst (ISO17799). I en datakontekst handler integritet om å hindre uautorisert endring av data som en materiell og statisk ressurs. Trusselen i en informasjonskontekst ligger ikke bare i at data endres ukontrollert, men vel så mye i at informasjonsinnholdet ikke endres, dvs. ikke holdes oppdatert, relevant, presist, komplett eller aktuelt i en gitt situasjon. Sistnevnte type egenskaper ved informasjonsinnholdet trues av forhold som åpenbart overskrider det som kan kontrolleres gjennom å hindre utilsiktet endring av data. I dette ligger en implikasjon som IKT-sikkerheten lett ignorerer. Informasjonens integritet styrkes når informasjonen er i arbeid, kontinuerlig blir holdt opp mot den virkelighet den beskriver, og blir oppdatert. Dataintegritet kan i så måte være kontraproduktiv i forhold til informasjonens integritet fordi den styrkes av at informasjonen så å si ligger i skuffen, en forutsetning som er vanskelig å holde fast på i en informasjonskontekst, for ikke å snakke om i en kunnskapskontekst. En vellykket håndtering av sårbarhetsnivå 2 inneholder en kime for sårbarhetsnivå 3, jamfør den intrikate overgangen mellom nivå 2 og 3. Kimen er forveksling av informasjon og kunnskap. Forskjellen er vanskelig å se når alt går «på skinner». Samtidig er det uhyre lite som skal til for at data og informasjon forstyrrer vesentlige elementer ved kunnskapsprosessen, som f.eks. fornyelse, (av)læring, improvisasjon, flertydighet og tvetydighet. En slik innfallsvinkel vil tvinge oss til å revidere bruken av konfidensialitet, integritet og tilgjengelighet ytterligere, men vil også reise mer fundamentale spørsmål om hvorvidt det er riktig å la disse begrepene fremstå som selve kvintessensen av IKT-sikkerhet Vår påstand er at hvis IKT-sikkerhet som fagområde skal «henge med» ift. kunnskapsorganisasjonene, må alle de tre sårbarhetsnivåene anerkjennes. Spesielt må man vurdere implikasjonene av å skille mellom data, informasjon og kunnskap. Hvis ikke vil vi oppleve IKT-relaterte ulykker selv om IKT-systemene fungerer «normalt». Kanskje har slike allerede skjedd. En svikt eller kollaps i en kunnskapsprosess kan bli svært synlig, men behøver ikke nødvendigvis avgi et «smell» høyt nok til at vi hører mer enn vi vil høre. En ulykke på en oljeinstallasjon overvåket gjennom et virtuelt kontrollrom kan være et eksempel på det siste. Sviktende pasientsikkerhet, eller død, pga. sviktende koordinering, kan være eksempel på det første. 340

7 Eirik Albrechtsen og Tor Olav Grøtan Systemulykker og sensemaking Det er en fellesnevner i disse tre, i utgangspunktet høyst ulike nivåene, nemlig det sosiologen Charles Perrow (1999) kaller en systemulykke. Systemulykker inntreffer når et system har strukturelle egenskaper som gjør at selv en liten hendelse kan gi store og alvorlige konsekvenser. Disse egenskapene dreier seg om komplekse interaksjoner (dvs. det er vanskelig å forutse og kontrollere unormale hendelser) og tette koblinger (dvs. forstyrrelser/feil vil forplante seg raskt gjennom systemet). Dersom de komplekse interaksjonene ikke lar seg redusere, anbefaler Perrow å desentralisere organisasjonen. På samme måte anbefaler han at dersom tette koblinger ikke kan gjøres løsere, skal organisasjonen sentraliseres. Dersom et system både er komplekst og tett koblet, oppstår et organisatorisk dilemma: Skal systemet både sentraliseres og desentraliseres? Perrow diskuterer IKT-sårbarhet i postscriptet i 1999-utageven av boka «Normal Accidents», hvor han benytter sin teori om systemulykker på år 2000 problemet, Y2K-problemet (en problemstilling som kan plasseres på sårbarhetsnivå 1). I en heller pessimistisk drøfting av det, den gang, meget omtalte Y2Kproblemet (merk at Perrows drøfting er fra 1999!) belyser Perrow hvordan uforutsette og uønskede hendelser kunne inntreffe 1.Januar Perrow sier det slik: «[ ] Y2K has the potential for making a linear, loosely coupled system more complex and tightly coupled than anyone had any reason to anticipate» (Perrow 1999:392). I dag vet vi at verdens IKT-systemer 1.Januar 2000 virket slik de gjorde noen timer før, i At det gikk så bra den gangen, må nok ses i sammenheng med det grundige forarbeidet som ble gjort for å hindre mulige kollaps. Av Y2K-problemet kan vi lære at vi har (hadde?) effektive nok metoder og verktøy til å håndtere en slik stor og omtalt teknologisk sårbarhet i IKT-systemene. På den annen side: Y2K ble forhindret gjennom en massiv innsats som man ikke kan gjenta stadig vekk. Det kan ikke forventes samme innsats mot for eksempel stadige virusangrep av den typen som i verste fall har vist seg å kunne slå ut en hel organisasjon. 3 Men systemulykketeorien har implikasjoner ut over dette. På alle tre sårbarhetsnivåer blir et viktig spørsmål; når situasjonen avviker fra det normale, og vi så å si er i antenningsfasen til en systemulykke blir IKT-løsningene en klamp om foten som låser handlingene til det forventede, eller blir IKT et hjelpemiddel for å improvisere, gripe, forandre og forvandle? Strekker vi ambisjonene for samhandling på teknologiens premisser alene, og konstruerer vi blinde flekker som kan bli fatalenår noe uventet skjer? Deter lett å glemmearistoteles ordom at det er sannsynlig at noe usannsynlig skjer, når vi er «fanget» i teknologiens velde. Og vi kan ikke unnlate å peke på det som fremstår som en vesentlig svakhet ved 3 For eksempel Sasser-viruset som blant annet slo ut If Skadeforsikring, våren

8 17. Gammeldags tenkning i moderne organisasjoner? den tradisjonelle tilnærmingen til IKT-sikkerhet: Alle våre bestrebelser og IKTmuligheter til tross, det er den menneskelige faktor som kan velte lasset. Individet må bedømme troverdigheten i det han/hun får presentert gjennom IKTsystemene. Forskjellen er bare at (det ulykkelige) individet blir stilt i en situasjon der IKT-systemene, og kunnskapen om disse, 4 prestrukturerer situasjonen og gir et overveldende inntrykk av kontroll og trygghet. Hendelsen eller feilen som får det hele til å rakne, er liten og unnselig, helt til den har skjedd med fatale konsekvenser. I Perrowsk ånd vil vi tillate oss å kalle det en systemsvakhet at enkeltpersoner blir eksponert for slike situasjoner. Karl Weicks (1995) bok om sensemaking belyser nettopp antenningsfasen til systemuluykker. Sensemaking handler om hvordan virkeligheten konstituerer seg i organisasjoner. 5 Weick beskriver en virkelighetsoppfatning som er langt fra stabil, men som befinner seg i en kontinuerlig fullførelsesprosess. Perspektivet knyttes eksplisitt til og utdyper Perrows begrep om systemulykker. Individet tvinges til å velge (bort) informasjon i en stresset og dynamisk situasjon. Svikten ligger like mye i grensene for menneskelig sensemaking som kompleksiteten i det tekniske systemet. Systemet kollapser fordi meningsdannelsen(sensemaking) kollapser. Sensemakinghandler ikke om hendelsene selv, men om den konteksten de forstås i. Velorganiserte og spesialiserte systemer er spesielt utsatt, og spesielt i de tilfeller der IKT er brukt som et støtteverktøy som predefinerer situasjonsforståelser og hendelsesforløp.vi ser her at IKT er i en dobbeltrolle, der det 1) er en viktig del av det sosiotekniske systemet som står i fare for å kollapse, og 2) prestrukturerer forståelser og handlingsmuligheter som bidrar til å føre fram til kollapsen. Weicks (1995) nærstudie av systemulykken gir med dette noen spennende nøkler til en innsikt som kan hjelpe oss til å forstå hvordan høykompetente organisasjoner kan komme i situasjoner som av ettertiden blir karakterisert på samme måte som f.eks. NASA etter Challenger-ulykken (Baumard 1999): Grensene for risikopersepsjon ble konstant modifisert som følge av at man mestret en kompleks teknologi. Til og med en kunnskapsorganisasjon som NASA er i stand til å «venne seg til» sin egen kunnskap, for så å bli forrådt av den. 4 F.eks. gjennom tradisjonelle risikoanalyser 5 Mennesker skaper retrospektiv mening i de sitasjoner de befinner seg i, og dette former organisatorisk struktur og atferd. Sensemaking handler om at aktører strukturer det ukjente og gir det mening. Retrospektive erfaringer og sannheter produserer forklaringer på overraskelser. Sensemaking er en kompleks interaksjon mellom søking etter informasjon, tilskrivelse av mening, samt handling. 342

9 Eirik Albrechtsen og Tor Olav Grøtan Det tradisjonelle utgangspunktet for IKT-sikkerhet Her vil vi beskrive hvordan de sårbarhetene vi introduserte i kapittel 3, tradisjonelt har blitt håndtert innen fagfeltet IKT-sikkerhet. Noen av de trekk vi oppfatter som utgangspunktet for dagens IKT-sikkerhet presenteres, før vi viser hvordan dette tradisjonelle perspektivet kan være et godt utgangspunkt for et nytt trinn på en IKT-sikkerhetstrapp. Trappemetaforen brukes for å understreke følgende: 1) IKT-sikkerhet må være en evolusjonær prosess, der ny kunnskap og praksis bygger på, men også til en viss grad, erstatter gammel kunnskap og praksis, og 2) det haster med å lage et nytt trinn på IKTsikkerhetstrappen! Teknologi og teknokrati IKT-sikkerhet, eller datasikkerhet som det ble kalt den gangen, oppstod og ble formet som fagområdet i en tidsbestemt teknologisk kontekst, nemlig databehandling og EDB. Det er vår påstand at fagområdet IKT-sikkerhet fremdeles er det som det ble unnfanget som, nemlig datasikkerhet tilpasset EDB-stadiet i IKT-utviklingen. Datasikkerhetsparadigmet avspeiler en mekanistisk forståelse av informasjon som en materiell og statisk ressurs som kan beskyttes ved teknologiske hjelpemidler, f.eks. kryptering. Siden den gang har det meste av det som er praktisert, sagt og skrevet dreid seg om tekniske løsninger på teknologiske problemer (Albrechtsen 2002). IKT-sikkerhetseksperten Bruce Schneier (2000:xii) har uttrykt dette veldig kompakt: «If you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology». Det er altså behov for å rive seg løs fra de teknologiske tilnærminger til fagfeltet og åpne opp for hensiktsmessige aspekter ved mennesker, ledelse og organisering i tillegg. Styring og ledelse har i stor grad skjedd gjennom kunnskap, ekspertmakt og evnen til å løse relevante problemer. Denne teknokratiske styringsformen gjenspeiles i at toppledelsen legger alt ansvar i hendene på IKT-sikkerhetspersonell. En av forfatterne hørte en gang en norsk toppleder på en sikkerhetskonferanse si: «Det er ingen i min organisasjon som jeg har gitt så mye ansvar og tillit som IKT-sikkerhetssjefen min». Som oftest har IKT-sikkerhetspersonellet teknologisk utdanning, det er derfor også, forståelig nok, lett å ty til teknologiske løsninger. Tiltrodde systemer (trusted systems)? I IKT-sikkerhetens militære barndom var utgangspunktet for beskyttelse av data/ informasjon formelle modeller, for eksempel basert på graderingsnivåer. Implementering var et spørsmål om kompetent engineering. Et «trusted» system var pr. definisjon både «safe» og «secure». Både på det sivile og det militære området 343

10 17. Gammeldags tenkning i moderne organisasjoner? kom de formelle modellene imidlertid til kort overfor virkelighetens verden. Kartet stemte ikke med terrenget, og formell verifikasjon av IKT-systemer ble dessuten svært kostbart. IKT sikkerhet har derfor etter hvert beveget seg vekk fra formelle analyser til å vektlegge håndtering av konkrete utfordringer. Nye trusler oppstår stadig, ikke minst knyttet til virus og andre «infeksjoner». Det kan reises tvil om utviklingen går i retning av bedre sikkerhet og mindre sårbarhet. Det finnes eksempler på at sikkerhetsteknologien i seg selv blir en trussel. IKT-avhengige virksomheter og organisasjoner som opererer i en markedsøkonomi tar seg sjelden råd til å ta i bruk det ypperste av sikkerhetsteknologi (CIST 1999). Beslutninger på dette området preges dessuten av en kompetanseforskyvning (fra brukerne til leverandørene) som resultat av bevegelse fra proprietære løsninger til mer ferdigpakkede, standardiserte 6 IKT-løsninger. Mekanistisk organisasjonssyn Den dominerende organisasjonsforståelseni IKT-sikkerhet er hovedsaklig mekanistisk/byråkratisk og taylorsk. Viktige kjennetegn på denne forståelsen er utøvelse av myndighet i henhold til regler, tydelig hierarkisk med klare maktskiller, skarp oppgavedeling, overvåkningssystemer og detaljerte regler/bestemmelser for organisatorisk atferd (Taylor 1911, Weber 1971). Slektskapet med tekniske problemer og løsninger er tydelig, og organisasjonen fremstår som mekanistisk. Denne påstanden bekreftes langt på vei av Dhillon og Backhouse (2001) som i en kartlegging av forskning på IKT-sikkerhet peker på at forskning rettet mot organisasjon og ledelse har vært preget av et fokus på kontroll og reguleringer. Kontroll har vært håndtert ved overvåkning, tilgangsrettigheter og forsøk på å styre atferd ved hjelp av retningslinjer. Vi har allerede stilt spørsmål om IKTløsningene blir en klamp om foten eller et hjelpemiddel til å improvisere når systemulykken initieres. Det samme spørsmålet kan stilles om et mekanistisk organisasjonssyn, og svaret er trolig at et slikt organisasjonssyn pr. definisjon blir en klamp om foten når systemulykken er i antennelsesfasen i kunnskapsorganisasjoner, blant annet fordi rommet for tilfeldig gjenopprettelse er begrenset. En slik byråkratisk forståelse av organisasjoner tilsvarer i stor grad Bolman og Deals (1991) strukturelle perspektiv på organisasjoner 7 og Morgans (1998) metafor om organisasjoner som maskiner 8. Både Bolman/Deal og Morgan frem- 6 COTS-løsninger (commercial off-the-shelf) 7 Organisasjoner eksisterer primært for å oppnå etablerte målsettinger gjennom etablerte målsettinger vha hensiktsmessig strukturering. Koordinasjon skjer gjennom hierarki og regler. 8 Forventing om at organisasjoner fungerer som maskiner, dvs. rutinemessig, effektivt, pålitelig og forutsigbart. Styring ved byråkratiske prinsipper. 344

11 Eirik Albrechtsen og Tor Olav Grøtan hever at dette er bare en av flere måter å forstå organisasjoner på, et poeng som synes å være mangelvare i IKT-sikkerhetssammenheng. Det synes som om regelverk som eksempelvis Personopplysningslovenog Sikkerhetsloven samt ISO standard er preget av, og oppfordrer til, nettopp slike strukturelle og byråkratiske organisasjonsforståelser. Premissen synes å være at alle organisasjoner pr. definisjon er hierarkiske og rasjonelt målsøkende, og at enkeltindivider er rasjonelle aktører som kan læres felles holdninger og atferd. Det fremstår etter vårt syn som en smule ironisk, og kanskje skremmende, at en av de mest moderne og muliggjørende teknologiene, IKT, skal temmes gjennom et reduksjonistisk og flatt menneskesyn, byråkratisk organisasjonsforståelse, tro på objektiv risiko og håndtering av denne, og et ensidig «rasjonelt» verdensbilde. Security-fokus Selv om det også arbeides med IKT-safetyaspekter innen fagfelt som eksempelvis menneske-maskin interaksjon og systempålitelighet, har den tradisjonelle tilnærmingen til IKT-sikkerhet i hovedsak vært security-rettet, dvs. rettet mot å avverge tilsiktete, ondsinnete angrep (f.eks. hacker-angrep). Denne type trusler har akselerert de siste årene, og preger nyhetsbildet nesten daglig. Faren er at det overskygger risikoen knyttet til andre farekilder i IKT-systemer som inntar stadig flere samfunnsområder, og særlig de som bygger seg opp over tid. Høsten 2001 var sentrale banktjenester utilgjengelige for kundene en hel uke, uten at en eneste hacker eller utro tjener var involvert. Kan det samme skje med annen kritisk infrastruktur, et sykehus, eller innen olje- og gassproduksjon? IKT-sikkerhet er ikke et spørsmål om bare å sikre seg mot tilsiktede, ondsinnete handlinger. Utilsiktede menneskelige feilhandlinger er også en viktig utfordring, ikke minst på sårbarhetsnivå 2 og 3. Vi står altså overfor en eksplosiv blanding av feilhandlinger, ondsinnete handlinger og teknologiske feil, hver for seg og i kombinasjon. Det er en betydelig utfordring å håndtere denne eksplosive blandingen. Kanskje krever de hver for seg ulike tankesett, men det er også nødvendig å se dem i sammenheng. Tradisjon og evolusjon Vårt utgangspunkt er som tidligere nevnt at det er behov for et nytt trinn på IKT-sikkerhetstrappen. I år 2004, på et tidspunkt der vi forventer mer av IKT enn noen gang, er det verdt å se tilbake og vurdere om de opprinnelige paradigmene trenger modernisering. Rapporten Trust in Cyberspace fra det amerikanske National Research 9 Information Technology Code of practice for information security management 345

12 17. Gammeldags tenkning i moderne organisasjoner? Council antyder at vi kan finne litt av hvert. Her sies det at «the largely disappointing results from more than two decades of work based on what might be called the «theory of security» invites a new approach to viewing security based on a «theory of insecurity» (CIST 1999:109). Dette underbygger vår påstand om at fagområdet IKT-sikkerhet fremdeles er det det ble unnfanget som, nemlig datasikkerhet tilpasset EDB/ADB-stadiet i IKT-utviklingen. I forhold til sårbarheter, farer og trusler i teknologi og infrastruktur (sårbarhetsnivå 1) kan det tradisjonelle datasikkerhetsparadigmet være hensiktsmessig. På den måten er ikke tradisjonen på noen måte feil, og den trengs fortsatt i fremtiden. Det er imidlertid behov for å bygge et nytt trinn med nye forståelser for ledelse og organisasjon som en videreføring av den trappen som tradisjonen representerer. Konstruksjonen av et nytt trappetrinn Som det sikkert har gått frem for leseren, er det vår mening at de tradisjonelle tilnærmingene til IKT-sikkerhet er utilstrekkelige. Å forkaste de tradisjonelle perspektivene vil imidlertid være som å tømme barnet ut med badevannet. Vi har allerede brukt trappemetaforen. IKT-sikkerhet er fremdeles i stor grad et teknisk spørsmål. Utfordringen er å forene dette med et ikke-teknisk syn på organisasjoner og de mennesker som er del av disse organisasjonene. Organisasjoner som maskiner kan også være en velegnet forståelse i visse situasjoner, men kan ikke være en absolutt forståelse 10. Blant dagens og morgendagens kunnskapsorganisasjoner er det bare et fåtall som passer for en mekanistisk tilnærming til sikkerhetsarbeidet. Det må derfor tilstrebes en helhetlig IKT-sikkerhet, hvor teknologi, mennesker og organisasjon går hånd i hånd. I det videre vil vi vise noen av de «materialer» et nytt trappetrinn kan bygges av. Mennesker som de er? Det menneskelige element gjør virksomheter sårbare for tilsiktede, ondsinnete handlinger og utilsiktede hendelser (feilhandlinger), og er ofte tuen som får et stort lass til å velte. Donn B. Parker (1998) illustrerer denne sårbarheten med en analogi til Kublai Khans herjinger på siste del av 1200-tallet. Gang på gang forsøkte Kublai Khan og hans mongolske horder å komme seg over, gjen- 10 Morgan (1998) hevder at et mekanistisk perspektiv på organisasjoner er velegnet bare når maskinene fungerer bra, dvs. når det er en enkel oppgave som skal utføres, når miljøet omkring er stabilt, når samme produkt produseres om igjen og om igjen, når det er høye krav til presisjon og når de menneskelige komponentene oppfører seg som planlagt. Et eksempel på en organisasjon hvor dette benyttes i dag, er hamburgerkjeden McDonald s. 346

13 Eirik Albrechtsen og Tor Olav Grøtan nom, under og rundt den kinesiske mur, men den var for høy, solid, dyp og lang. Tilslutt kom mongolene seg forbi, ganske enkelt ved å bestikke en vokter. Eksemplet, som i høyeste grad er fra før IKT-tidsepoken, viser for det første at tekniske løsninger ikke er nok, og for det andre at sikkerhetsprogrammering av mennesker er umulig. Ikke alle vil gå i takt etter de føringer som er gitt i sikkerhetssystemet. Mennesker er ikke brikker i et mekanisk spill slik tradisjonen har lagt opp til gjennom kontroll og overvåkning av mennesker, samt dokumenterte retningslinjer for sikker atferd. En alternativ, ikke-mekanistisk og mer human tilnærming rettet mot mennesker må søkes. Et viktig stikkord i den forbindelse er brukerdeltakelse i utviklingen av sikkerhetstiltak. Risikoatferd og -håndtering i kunnskapsorganisasjoner Framtidens IKT-sårbarhet handler i stor grad om at IKT forfører oss til å forfølge stadig nye ambisjonsnivåer og at vi strekker mulighetene til bristepunktet. Vi står overfor risikoer vi overhodet ikke er forberedt på. Forventningen og betalingsvilligheten i forhold til «trusted systems» er i løpet av et par årtier erstattet av en tilbøyelighet til å ta sjansen med IKT. Årsaken til dette er kanskje at gevinsten er stor, og at alle baserer seg på at fremtidens teknologi vil løse alle problemer. Poenget er altså at IKT-sikkerhet må forstås i en større kontekst enn seg selv. Sosiologen Richard Sennett treffer antakelig spikeren på hodet når han sier at «risk in real life is driven more elementally by the fear of failing to act. In a dynamic society, passive people wither» (Sennett 1998:88). Weick(1995) går enda lengerenn Sennett i å antyde at risikoatferdiseg selv rett og slett er meningsbærende i moderne organisasjoner. Weicks argument er at i en organisatorisk virkelighet preget av konkurranse og ustabilitet, er presisjon ofte en kostbar luksus. Det primære målet er å etablere stabilitet og forutsigbarhet. I moderne organisasjoner er kostnaden med å være ubesluttsom høyere enn kostnaden med å være upresis. Når hurtighet og djervhet teller mest av alt, tenderer sensemaking mot å bli mer skjemadrevet (programmert) enn datadrevet. Tidspress stimulerer folk til å søke bekreftelse på forventninger, klynge seg til sine initielle, hypoteser og foretrekke en narrativ tankegang på bekostning av en datadrevet tankegang. Kombinasjonen av evig strev etter å etablere nye relasjoner og å håndtere tidsnød øker avhengigheten av forventninger, og av at folk innfrir disse fortest mulig. De fleste, i de fleste organisasjoner, bruker følgelig det meste av sin tid på å finne mening under forhold der selvoppfyllende profetier florerer, nettopp fordi selvoppfyllende profetier er en av de få sensemaking-prosesser som virker under slike forhold. Å argumentere seg frem til mening er bare mulig når verden er relativt stabil, og når formålet har en viss varighet. Weicks beskrivelse treffer her, etter vår mening, vesentlige sider ved kunnskapsorganisasjoners jakt på identitet, mening og kunnskaping. 347

14 17. Gammeldags tenkning i moderne organisasjoner? Risikotaking overskygger håndtering av nye risikoer. Hvordan disse nye risikoer skal håndteres, er på den annen side ikke lett, de er preget av stor grad av usikkerhet og kompleksitet (Albrechtsen 2004). På den måten kan det hevdes at føre-var strategier, som «trusted systems» er et forsøk på, kan være hensiktsmessige. Samtidig vil en risikobasert tilnærming bestående av analyser kunne bidra til å spå fremtidige risikoer ved risikoatferden. For å følge Klinke og Renns (2002) argumenter om risk management bør risikohåndtering og sikkerhetsledelse derfor bestå av en kombinasjon av risikobaserte, føre-var og diskursbaserte 11 strategier for å redusere risikoen. Læring fra safetyområdet 12 I forlengelsen av at IKT-sikkerhet er et safetyproblem så vel som et securityproblem, er det nærliggende å se hva som kan læres fra safetyområdet. Både security og safety vil i siste instans handle om å beskytte verdier vi er opptatt av mot trusler/farer. Selv om det er noen ulikheter mellom security og safety, vil det være betydelige læringspotensialer for ledelse og organisering. Læringspotensialet kommer godt fram ved å se på safety i et historisk perspektiv. Hale og Hovden (1998) har beskrevet tre tidsaldrer for safety forskning: Den første tidsalder som fokuserte på safety som et teknisk problem, den andre tidsalder som så på safety som et menneskelig problem og den tredje tidsalderen som så på safety som et problem relatert til ledelse, organisasjon og kultur. Dagens IKT-sikkerhetsforskning befinner seg tydelig på et nivå likt med safetyforskningens første tidsalder. Den første utfordringen for IKT-sikkerhet blir dermed å utvide perspektivet for dermed å klatre opp til et nivå minst på høyde med safetys tredje tidsalder. Safety er et område med en helt annen teoretisk ballast enn IKT-sikkerhet, en helt annen grad av pluralisme i tilnærmingsmåter og en pågående refleksjon over hvordan tiltak og løsninger fungerer i, og påvirker, de organisatoriske kontekstene som er aktuelle. Fagfeltet tør til og med å være fler-/tverrfaglig, som må kunne tolkes som et uttrykk for modenhet. I kontrast til dette er IKT-sikkerhet i sammenlikning temmelig selvrefererende, «det er liksom ikke noe å lære av andre» (annet enn de tekniske disipliner). Medvirkning og deltakelse i hele organisasjonen, som er lovfestet i internkontrollforskriften på safetyområdet, er et mulig læringspotensiale. Et annet aspekt der det er mye å lære fra både positive og negative erfaringer innen safety, er på individrette tiltak. 11 En strategi i sikkerhetsledelsesom fremmermedvirkningog deltakelsei hele organisasjonen.målet er å skape enighet mellom ulike grupper om risikohåndtering. 12 Med safety-området mener vi tradisjonelt sikkerhetsarbeid innen f.eks. industri og transport. 348

15 Eirik Albrechtsen og Tor Olav Grøtan En mer fleksibel og variert organisasjonsforståelse Som beskrevet, har nye organisasjonsformer vokst frem med IKT. Felles for disse nye virksomhetene er at de ikke er mekanistisk organisert som byråkratier. De må forstås som levende organismer, ikke som informasjonsprosesserende maskiner (Nonaka og Takeuchi 1995). I tabellen under har vi satt opp stikkord som kjennetegner henholdsvis kunnskapsorganisasjoner og det tradisjonelle synet på ledelse og organisasjon i forhold til IKT-sikkerhet. Tabell 1. Kjennetegn på kunnskapsorganisasjoner og ledelse/organisasjon i IKT-sikkerhet Kjennetegn på kunnskapsorganisasjoner Bruk av teknologi til systematisk kunnskapsdeling Selvstyrt, uformell og fleksibel koordinering Kommunikasjon og dynamisk kunnskapsutvikling. Samhandling på prosjekter på tvers av faggrenser og fysiske steder Kontinuerlig endring Allsidig kunnskapsgrunnlag og fokus på sosiale, kulturelle og intellektuelle verdier Fagfeltet IKT-sikkerhets tradisjonelle syn på ledelse og organisering Orientert mot sikring av data som fysisk ressurs Teknokrati Byråkrati Kontroll og reguleringer Dokumenterte retningslinjer Beskyttelse mot security-trusler Syn på org.medlemmer som rasjonelle aktører Den tradisjonelle organisatoriske tilnærmingen til IKT-sikkerhet forutsetter en organisasjonsform som vi ikke finner igjen i kunnskapsorganisasjonen. Det er da en fare for at sikkerhetsregimet avstøtes på samme måte som et fremmedelement i en menneskelig organisme. Et fremtidsrettet organisatorisk sikkerhetsperspektiv bør ta høyde for at enkeltaktørene i organisasjoner er ulike. En sikkerhet som forutsetter total uniformering og ensretting, er en skjør konstruksjon. Sikkerhet kan aldri oppnås ene og alene gjennom å programmere individer i henhold til en kollektiv mal. Det vil alltid finnes et avvik eller en avviker. Den organisatoriske forståelsen av IKT-sikkerhet og de metoder og verktøy som avledes av denne, må være tilpasset den aktuelle organisasjonen i den aktuelle konteksten. Det blir for lettvint å bare fortsette å anta at sikkerhetsledelse i en tradisjonell mekanistisk organisasjon kan overføres til hvilken som helst organisasjon. 349

16 17. Gammeldags tenkning i moderne organisasjoner? Organisasjon og ledelse kan forstås på mange måter, og det finnes ikke noe entydig svar på hvordan et nytt trinn IKT-sikkerhetstrappen vil se ut. Nye syn må utarbeides i nær kontakt med praktikere, og aksjonsforskning 13 er en mulig tilnærming til en slik prosess. For å gi inspirasjon til tenkning om mulige nye perspektiver på organisasjon og ledelse innen IKT-sikkerhetsområdet vises her noen eksempler på pluralistisk tenkning fra andre fagområder: Bolman og Deal (1991) og Morgan (1998) foreslår en rekke mulige syn på organisasjoner relatert til blant annet politikk og makt, kultur, læring, menneskelige ressurser og stadige endringer. I forhold til sikkerhetsledelse har Klinke og Renn (2002) foreslått tre strategier som kan være ledesnorer for ulike perspektiver på IKT-sikkerhetsledelse: risikobasert, føre-var og medvirkende strategier. Rosness et al. (2004) har beskrevet fem perspektiver for å forstå organisatoriske mekanismer relatert til storulykker: barrieretenkning, systemulykke, High Reliable Organisations (HRO), informasjonsprosessering og beslutningstaking. Alle disse er ment som mulige ideer til videre tenkning omkring nye perspektiver på IKT-sikkerhet. Noen av dem kan være mindre hensiktsmessige, og det vil også finnes andre perspektiver utover disse. Konklusjon I lys av dagens og morgendagens kunnskapsorganisasjoner, hvor IKT-systemer sammen med informasjon, kunnskap, kommunikasjon og samspill er blant premissgiverne, har vi i denne artikkelen forsøkt å se på IKT-sikkerhet med nye blikk. Et utgangspunkt og argument for et nytt syn på IKT-sikkerhet finnes på tre IKT-sårbarhetsnivåer i kunnskapsorganisasjoner. Disse tre nivåene er relatert til 1) IKT som generelt verktøy, 2) «business automation» og 3) hvordan takle det uventede. Felles for alle nivåene er at virksomheter har satt seg i en så sårbar situasjon at selv små utilsiktede og tilsiktede hendelser kan få store konsekvenser. Tradisjonelt har IKT-sårbarheter blitt forsøkt løst ved teknologiske løsninger. Dette er på ingen måte en feil håndtering, IKT-sikkerhet er og vil bli en teknisk 13 Aksjonsforskning(actionresearch)utføresavetteamsominkludererforskereogmedlemmeraven organisasjon eller et samfunn som forsøker å forbedre deres situasjon. Aksjonsforskning innebærer bred deltakelse i forskningsprosessen og støtter handling som førere til en bedre situasjon for alle interessenter. Forskere og deltakere utvikler sammen hva som skal undersøkes, genererer kunnskap om problemet sammen, og tolker resultater av handlingene basert på hva de har lært av prosessen (Greenwood og Levin 1998) 350

17 Eirik Albrechtsen og Tor Olav Grøtan utfordring. Teknologi alene er imidlertid ikke nok, menneskelige og organisatoriske aspekter må også inkluderes i sikkerhetsarbeidet. Disse aspektene har hovedsakelig gjenspeilet teknologien i et mekanistisk organisasjonssyn som inkluderer blant annet tro på organisasjonsmedlemmer som rasjonelle aktører, detaljerte bestemmelser for atferd, organisasjoner som statiske hierarkier, teknokratisk styring og beskyttelse mot tilsiktede, ondsinnete handlinger. Det tradisjonelle organisasjonssynet er på kollisjonskurs med verdier og kjennetegn på dagens og morgendagens kunnskapsorganisasjoner. Det er derfor behov for at fagfeltet åpner opp for nye tanker og ideer. Tradisjonen skal imidlertid ikke forkastes den er et godt utgangspunkt for å bygge et nytt trinn på IKT-sikkerhetstrappen bestående av nye perspektiver på organisasjon og ledelse. Hvordan en ny forståelse for ledelse og organisering vil se ut, er kontekstavhengig. Organisasjoner kan forståes og tolkes på mange måter (Bolman og Deal 1991, Morgan 1998). Dette reflekterer den pluralistiske tankegangen som finnes innen safety-fagfeltet, men som er mangelvare innen IKT-sikkerhetsområdet. De tradisjonelle tilnærmingene med tekniske løsninger og mekanistisk ledelse/ organisasjon er to av flere perspektiver. Andre mulige perspektiver kan være relatert til dynamiske organisasjoner, menneskelige faktorer, medvirkning og sikkerhetskultur. De tanker, utfordringer og mulige løsninger vi har foreslått i artikkelen tilhører et nytt og relativt lite utforsket område. I et forskningsperspektiv er det vår mening at veien mot en bedre forståelse for IKT-sikkerhet går gjennom aksjonsforskning, der forskere og medlemmer av en virksomhet sammen forsøker å forbedre situasjonen. Mulige forskningsspørsmål kan være hvordan tilrettelegge og utføre individrettete tiltak, hvordan virksomheter skal beskytte seg i en kunnskapskontekst, hvordan skape medvirkning i sikkerhetsarbeidet og hvordan alternative tilnærminger kan anerkjennes og tas i bruk. Ved at forskere kan publisere resultater fra slike prosesser, åpner det også for at andre virksomheter kan lære. Takk Takk til seniorforsker Ragnar Rosness ved SINTEF teknologiledelse for nyttige innspill. Eirik Albrechtsens PhD-stipend er finansiert av Vesta Forsikring AS. 351

18 17. Gammeldags tenkning i moderne organisasjoner? Referanser Albrechtsen, E. (2002): Risikovurderinger i informasjonssikkerhet utløsende faktor og oppfølging. Hovedoppgave, inst. for industriell økonomi og teknologiledelse, NTNU. Tilgjengelig på Albrechtsen, E. (2004): «Handling of uncertainty, complexity and ambiguity related to IT risk.» I Gattiker, E.E. (red), EICAR 2004 Conference CD Rom. København: EICAR e.v. Baumard, P. (1999): Tacit Knowledge in Organizations. Sage Publications. Bolman, L.G og T.E. Deal (1991): Nytt perspektiv på organisasjon og ledelse. Strukturer, sosiale relasjoner, politikk og symboler, Oslo: ad Notam Gyldendal. Carlsen, A. (2002): Om kunnskap i KIFT-bedrifter. SINTEF rapport STF38 S Tilgjengelig på CIST (Committee on Information Systems Trustworthiness), Trust in Cyberspace. National Research Council (USA). Tilgjengelig på index.htm. Dhillon, G. og J. Backhouse (2001): «Current directions in IS security research: towards socioorganizational perspectives», i Information Systems Journal, vol. 11, nr.2 s ISO (2000): ISO standard Information technology Code of practices for information security management. Klev, R. og A. Carlsen. (2002): På sporet av noe? Kjennetegn og kjente tegn i kunnskapsbedrifter. SINTEF rapport STF38 S Tilgjengelig på Klinke A. og O.Renn. (2002): «A new approach to risk evaluation and management: Riskbased, precaution-based and discourse-based strategies» i Risk Analysis, vol.22, nr.6, s Greenwood, D.J og M.Levin. (1998). Introduction to Action Research. London: Sage Publications. Hale, A og Hovden, J., (1998): Management and culture; the third age of safety, i A.M. Feger and A.Williamson (eds.) Occupational Injury: risk, prevention and interventions, Taylor & Francis, London s Morgan, G. (1998): Organisasjonsbilder. Innføring i organisasjonsteori, Oslo: Universitetsforlaget. NonakaI. og H.Takeuchi.(1995): The Knowledge-CreatingCompany. OxfordUniversityPress. NOU (2000). Et sårbart samfunn. Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet. Norges offentlige utredninger 2000:24 Perrow, C. (1999): Normal Accidents: living with high-risk technologies. Princeton, New Jersey: Princeton University Press. Personopplysningsloven (2001): Lov av 14. April 2000 nr. 31 om behandling av personopplysninger (Personopplysningsloven) samt forskrifter. Parker, D.B. (1998): Fighting Computer Crime. A New Framework for Protecting Information, New York: John Wiley & Sons. Rosness, R., G.Guttormsen, T.Steiro, R.K.Tinmannsvik og I.A. Herrera. (2004): Organisational Accidents and Resilient Organisations: Five Perspectives. SINTEF rapport nr STF38A04403 Schneier, B. (2000): Secrets & Lies. Digital Security in a Networked World, New York: John Wiley & Sons. Sennett, R. (1998): The Corrosion of Character: The Personal Consequences of Work in the New Capitalism. W.W. Norton,. 352

19 Eirik Albrechtsen og Tor Olav Grøtan Sikkerhetsloven (2002) Lov om forebyggende sikkerhetstjeneste (Sikkerhetsloven) sist ved lov av 21.desember 2001 nr.117. Taylor, F.W. (1911): Principles of Scientific Management. New York: Harper & Bros. Weber, M. (1971): Makt og byråkrati. 3. utgave, 2. opplag, Oslo: Gyldendal Norsk Forlag AS Weick, K.E. (1995): Sensemaking in Organizations. Sage. 353

Er det fruktbart å se risiko fra ulike ståsteder?

Er det fruktbart å se risiko fra ulike ståsteder? Er det fruktbart å se risiko fra ulike ståsteder? Hva betyr det for praktisk sikkerhetsarbeid? Eirik Albrechtsen Forsker, SINTEF Teknologi og samfunn 1.amanuensis II, NTNU 1 Risiko og sårbarhetsstudier

Detaljer

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor

Detaljer

organisasjonsanalyse på tre nivåer

organisasjonsanalyse på tre nivåer organisasjonsanalyse på tre nivåer Makronivået -overordnede systemegenskaper- Mesonivået avgrensete enheter, avdelinger, kollektiver Mikronivået -individer og smågrupper- Høyere nivå gir rammer og føringer

Detaljer

Samfunnsviktig infrastruktur og kritiske objekter

Samfunnsviktig infrastruktur og kritiske objekter Samfunnsviktig infrastruktur og kritiske objekter Kapt Trond Sakshaug Planoffiser HV-01 Orienteringen er UGRADERT Innhold Begreper og perspektiv Generelle hovedinntrykk fra prosessen Trussel Trussel Hva

Detaljer

Går det an å elske en forskrift?

Går det an å elske en forskrift? Går det an å elske en forskrift? - Om jernbanefolk og sikkerhetsregler Ragnar Rosness, SINTEF ragnar.rosness@sintef.no Etterlevelse av regler og prosedyrer hvorfor er det så vanskelig? ESRA-seminar, Hurdalssjøen

Detaljer

Informasjonssikkerhet og ansatte

Informasjonssikkerhet og ansatte Informasjonssikkerhet og ansatte 1 PhD stipendiat Eirik Albrechtsen Inst. for industriell økonomi og teknologiledelsen Norges teknisk naturvitenskaplige universitet (NTNU) Tema Hvordan opplever brukere

Detaljer

Mobilisering av kompetanse i hverdagen hver dag

Mobilisering av kompetanse i hverdagen hver dag Mobilisering av kompetanse i hverdagen hver dag STIKLESTAD DEN 15.10.15 Et forsøk på Hverdagsinnovasjon En modell som er noe nytt, men fortsatt usikker på om den er nyttig. Den er i allefall ikke nyttiggjort.

Detaljer

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst Menneskelige og organisatoriske risikofaktorer i en IO-kontekst The interplay between integrated operations and operative risk assessments and judgements in offshore oil and gas Doktoravhandling Siri Andersen

Detaljer

Hvordan kan vi sikre oss at læring inntreffer

Hvordan kan vi sikre oss at læring inntreffer Hvordan kan vi sikre oss at læring inntreffer Morten Sommer 18.02.2011 Modell for læring i beredskapsarbeid Innhold PERSON Kontekst Involvering Endring, Bekreftelse og/eller Dypere forståelse Beslutningstaking

Detaljer

Innholdsfortegnelse. Bokens mål...16 Bokens tilnærming...17 Bokens innhold...17. 1 Organisasjonslæringens mange ansikter...21

Innholdsfortegnelse. Bokens mål...16 Bokens tilnærming...17 Bokens innhold...17. 1 Organisasjonslæringens mange ansikter...21 Innledning...15 Bokens mål...16 Bokens tilnærming...17 Bokens innhold...17 1 Organisasjonslæringens mange ansikter...21 Organisasjonslæring som den lærende organisasjon...25 Dobbeltkretslæring...26 Den

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Lederskap for å skape relevans for framtiden 1

Lederskap for å skape relevans for framtiden 1 REGIONAL LEDERSAMLING - Salten «Helsefag for fremtiden Blodsukker.jpg Prognosene viser at det i 2030 vil være 40 000 jobber innen helse. Helsefag ved Bodø videregående er sitt ansvar bevisst. Derfor ble

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

IKT-sikkerhet som suksessfaktor

IKT-sikkerhet som suksessfaktor IKT-sikkerhet som suksessfaktor - med fokus på teknologi og kultur Jan Tobiassen Strategi og policy Nasjonal sikkerhetsmyndighet Agenda Nasjonal sikkerhetsmyndighet KIS og Nasjonal strategi for IT-sikkerhet

Detaljer

Koordinatorskolen. Risiko og risikoforståelse

Koordinatorskolen. Risiko og risikoforståelse Koordinatorskolen Risiko og risikoforståelse Innledende spørsmål til diskusjon Hva er en uønsket hendelse? Hva forstås med fare? Hva forstås med risiko? Er risikoanalyse og risikovurdering det samme? Hva

Detaljer

BARNS DELTAKELSE I EGNE

BARNS DELTAKELSE I EGNE BARNS DELTAKELSE I EGNE BARNEVERNSSAKER Redd barnas barnerettighetsfrokost 08.09.2011 Berit Skauge Master i sosialt arbeid HOVEDFUNN FRA MASTEROPPGAVEN ER DET NOEN SOM VIL HØRE PÅ MEG? Dokumentgjennomgang

Detaljer

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal FFI-forum 16. juni 2015 Oppdrag Vurdere to tilnærminger til risikovurdering som FB bruker Gi en oversikt

Detaljer

Innføring i sosiologisk forståelse

Innføring i sosiologisk forståelse INNLEDNING Innføring i sosiologisk forståelse Sosiologistudenter blir av og til møtt med spørsmål om hva de egentlig driver på med, og om hva som er hensikten med å studere dette faget. Svaret på spørsmålet

Detaljer

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 Sissel H. Jore Sissel H. Jore -Hvem er jeg? Master og PhD Samfunnssikkerhet og risikostyring, UIS. Avhandlingens tittel:

Detaljer

Organisatorisk læring av alvorlige hendelser

Organisatorisk læring av alvorlige hendelser Organisatorisk læring av alvorlige hendelser Sikkerhetsforums årskonferanse 3. juni 2010 Siri Wiig Petroleumstilsynet Agenda Kort om organisatorisk læring Granskning som et verktøy for organisatorisk læring

Detaljer

Innovasjonsplattform for UiO

Innovasjonsplattform for UiO Det matematisk-naturvitenskapelige fakultet Universitetet i Oslo Til: MN- fakultetsstyret Sakstype: Orienteringssak Saksnr.: 29/15 Møtedato: 19.10.15 Notatdato: 08.10.15 Saksbehandler: Morten Dæhlen Sakstittel:

Detaljer

Organisasjonsutvikling som kulturarbeid

Organisasjonsutvikling som kulturarbeid Organisasjonsutvikling som kulturarbeid Fagutvikling kan være innføring av nye tiltak eller evaluering og justeringer av etablerte tiltak. Fagutvikling kan også være innføring av nye metoder eller det

Detaljer

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance

Detaljer

Eleven som aktør. Thomas Nordahl 03.05.13

Eleven som aktør. Thomas Nordahl 03.05.13 Eleven som aktør Thomas Nordahl 03.05.13 Innhold Forståelse av barn og unge som handlende, meningsdannende og lærende aktører i eget liv Fire avgjørende spørsmål om engasjement og medvirkning Konsekvenser

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

views personlig overblikk over preferanser

views personlig overblikk over preferanser views personlig overblikk over preferanser Kandidat: Ola Nordmann 20.05.2005 Rapport generert: 21.07.2006 cut-e norge as pb. 7159 st.olavsplass 0130 OSLO Tlf: 22 36 10 35 E-post: info.norge@cut-e.com www.cut-e.no

Detaljer

BARE BARNEHAGE? En kvalitativ studie om barnehagemyndighetens posisjon, rolle og makt i kommunene

BARE BARNEHAGE? En kvalitativ studie om barnehagemyndighetens posisjon, rolle og makt i kommunene BARE BARNEHAGE? En kvalitativ studie om barnehagemyndighetens posisjon, rolle og makt i kommunene Masteroppgave i førskolepedagogikk NTNU 2011 Gro Toft Ødegård Vanskelighetene med å finne fram til den

Detaljer

Bokens overordnede perspektiv

Bokens overordnede perspektiv Kapittel 1 Bokens overordnede perspektiv Monica Storvik Organisasjonsteori Organisasjonsteorien har til hensikt å forklare: Hvordan virkeligheten ser ut. Hvordan den henger sammen. Teorien bygger på innsamling

Detaljer

Strategi 2020. for. Høgskolen i Oslo og Akershus. Ny viten, ny praksis

Strategi 2020. for. Høgskolen i Oslo og Akershus. Ny viten, ny praksis Strategi 2020 for Høgskolen i Oslo og Akershus Visjon Ny viten, ny praksis HiOA har en ambisjon om å bli et universitet med profesjonsrettet profil. Gjennom profesjonsnære utdanninger og profesjonsrelevant

Detaljer

Endringer i ISO-standarder

Endringer i ISO-standarder Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter

Detaljer

FORMEL Linda Hoel mener både politikerne og etaten selv, har mye å lære av den praktiske erfaringen politifolk gjør seg i hverdagen.

FORMEL Linda Hoel mener både politikerne og etaten selv, har mye å lære av den praktiske erfaringen politifolk gjør seg i hverdagen. 30 LØFT FRAM PRAKTISK POLITIARBEID SYSTEMATISER ERFARINGSLÆRINGEN VERN OM DEN GODE DIALOGEN VERDSETT ENGASJEMENT OG FØLELSER FORSKERENS FORMEL Linda Hoel mener både politikerne og etaten selv, har mye

Detaljer

Kort innholdsfortegnelse

Kort innholdsfortegnelse Kort innholdsfortegnelse Kapittel 1 Introduksjon til organisasjonsteorien 19 DEL I ORGANISASJONSTEORIENS FORHISTORIE 35 Kapittel 2 Synet på organisering før 1900-tallet 37 Kapittel 3 Klassisk organisasjonsteori:

Detaljer

Kjennetegn på måloppnåelse ikke så vanskelig som en skulle tro. Grete Sevje

Kjennetegn på måloppnåelse ikke så vanskelig som en skulle tro. Grete Sevje Kjennetegn på måloppnåelse ikke så vanskelig som en skulle tro Grete Sevje 1 Innhold Kurset starter med en generell introduksjon om vurdering i forhold til Læreplanen Kursholder viser eksempler på kjennetegn

Detaljer

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes Kort presentasjon til NFR WS.mars 005 NTNU Forskningsprogram for informasjonssikkerhet Stig F. Mjølsnes Utfordring and response Vårt samfunn krever i økende grad at IKT-systemer for seriøs virksomhet er

Detaljer

HMS-kultur i en globalisert virksomhet Mulighetsrom eller begrensningsrom?

HMS-kultur i en globalisert virksomhet Mulighetsrom eller begrensningsrom? HMS-kultur i en globalisert virksomhet Mulighetsrom eller begrensningsrom? Jorunn Tharaldsen, RF-Rogalandsforskning Lars Bodsberg, Sintef Bevegelig kapital Bevegelig arbeidskraft Endrede kommunikasjons-

Detaljer

Det nytter ikke å være en skinnende stjerne på himmelen alene.

Det nytter ikke å være en skinnende stjerne på himmelen alene. Ledelse av læringsprosesser ved Halsen Ungdomsskole Det nytter ikke å være en skinnende stjerne på himmelen alene. Gro Harlem Brundtland Katrine Iversen seniorrådgiver Møller-Trøndelag kompetansesenter

Detaljer

Læreplan i informasjonsteknologi - programfag i studiespesialiserende utdanningsprogram

Læreplan i informasjonsteknologi - programfag i studiespesialiserende utdanningsprogram Læreplan i informasjonsteknologi - programfag i studiespesialiserende utdanningsprogram Fastsatt som forskrift av Utdanningsdirektoratet 3. april 2006 etter delegasjon i brev 26. september 2005 fra Utdannings-

Detaljer

Integrerte operasjoner Noen utfordringer i et myndighetsperspektiv

Integrerte operasjoner Noen utfordringer i et myndighetsperspektiv Integrerte operasjoner Noen utfordringer i et myndighetsperspektiv Innhold Integrerte operasjoner Perspektivet IKT sikkerhet Hvordan ta høyde for det usannsynlige HMS i et IO perspektiv Hvordan kan IO

Detaljer

Årsplan for Nordre Åsen Kanvas-barnehage 2015-2017. nordreaasen@kanvas.no

Årsplan for Nordre Åsen Kanvas-barnehage 2015-2017. nordreaasen@kanvas.no Årsplan for Nordre Åsen Kanvas-barnehage 2015-2017 1 Innhold Kanvas pedagogiske plattform... 3 Kanvas formål... 3 Små barn store muligheter!... 3 Menneskesyn... 3 Læringssyn... 4 Kanvas kvalitetsnormer...

Detaljer

Når lederutvikling gir resultater

Når lederutvikling gir resultater Når lederutvikling gir resultater Kort tilbakeblikk I Norge har vi drevet ulike former for lederutvikling i over 60 år. Helt siden den amerikanske konsulenten George Kenning kom til Norge på femtitallet

Detaljer

Allmenndel - Oppgave 2

Allmenndel - Oppgave 2 Allmenndel - Oppgave 2 Gjør rede for kvalitativ og kvantitativ metode, med vekt på hvordan disse metodene brukes innen samfunnsvitenskapene. Sammenlign deretter disse to metodene med det som kalles metodologisk

Detaljer

Strategier 2010-2015. StrategieR 2010 2015 1

Strategier 2010-2015. StrategieR 2010 2015 1 Strategier 2010-2015 StrategieR 2010 2015 1 En spennende reise... Med Skatteetatens nye strategier har vi lagt ut på en spennende reise. Vi har store ambisjoner om at Skatteetaten i løpet av strategiperioden

Detaljer

Risikobilder kunstneriske uttrykk eller fotografisk sannhet? Stein Haugen Professor II, NTNU / FoU-sjef Safetec Stein.haugen@safetec.

Risikobilder kunstneriske uttrykk eller fotografisk sannhet? Stein Haugen Professor II, NTNU / FoU-sjef Safetec Stein.haugen@safetec. Risikobilder kunstneriske uttrykk eller fotografisk sannhet? Stein Haugen Professor II, NTNU / FoU-sjef Safetec Stein.haugen@safetec.no Oversikt over foredraget Hva skal vi bruke risikobildet til? Hva

Detaljer

INNOVASJON, VELFERDSTEKNOLOGI OG LÆRING. Hanne Hedeman 2015

INNOVASJON, VELFERDSTEKNOLOGI OG LÆRING. Hanne Hedeman 2015 INNOVASJON, VELFERDSTEKNOLOGI OG LÆRING Hanne Hedeman 2015 Innovasjon dreier seg om nyskapning. Innovasjon er å se muligheter og å være i stand til å føre disse muligheter ut i livet på en verdiskapende

Detaljer

Utviklingsprosjekt. Prosjektveiledning

Utviklingsprosjekt. Prosjektveiledning Utviklingsprosjekt Prosjektveiledning Juni 2011 Målsetting Utviklingsprosjektet skal bidra til utvikling både av deltakeren og hennes/hans organisasjon gjennom planlegging av et konkret endringsprosjekt

Detaljer

Kritisk refleksjon. Teorigrunnlag

Kritisk refleksjon. Teorigrunnlag Kritisk refleksjon tekst til nettsider Oppdatert 14.01.16 av Inger Oterholm og Turid Misje Kritisk refleksjon Kritisk refleksjon er en metode for å reflektere over egen praksis. Den bygger på en forståelse

Detaljer

Sorte svaner Hvordan håndterer vi usikkerhet? Terje Aven Universitetet i Stavanger

Sorte svaner Hvordan håndterer vi usikkerhet? Terje Aven Universitetet i Stavanger Sorte svaner Hvordan håndterer vi usikkerhet? Terje Aven Universitetet i Stavanger Risikostyring Det arbeid vi gjør og hvilke beslutninger vi tar Hindre ulykker, skader og tap Balansere ulike hensyn Risikostyring

Detaljer

Fra flis i fingeren til ragnarok. En innledning

Fra flis i fingeren til ragnarok. En innledning Fra flis i fingeren til ragnarok. En innledning Stian Lydersen NTNU stian.lydersen@medisin.ntnu.no Tittelen på denne boka henspeiler på at sikkerhet handler om å unngå alt fra enkle arbeidsulykker («flis

Detaljer

Digitalt førstevalg hva innebærer det i praksis Arild Jansen, AFIN/SERI, UiO

Digitalt førstevalg hva innebærer det i praksis Arild Jansen, AFIN/SERI, UiO Digitalt førstevalg hva innebærer det i praksis? (Rettslige spørsmål blir i liten grad berørt) Arild Jansen Avdeling for forvaltningsinformatikk/ Senter for rettsinformatikk, UIO http://www.afin.uio.no/

Detaljer

Profesjonelt kunnskapsarbeid i en byråkratisk kontekst. Prof. Thomas Hoff Psykologisk institutt Universitetet i Oslo

Profesjonelt kunnskapsarbeid i en byråkratisk kontekst. Prof. Thomas Hoff Psykologisk institutt Universitetet i Oslo Profesjonelt kunnskapsarbeid i en byråkratisk kontekst Prof. Thomas Hoff Psykologisk institutt Universitetet i Oslo NOCM 22. september 2013 FOA seminar Prof.Dr. Thomas Hoff 3 22. september 2013 FOA seminar

Detaljer

HVA HVIS PROSJEKTER IKKE HANDLER OM KONTROLL OG STYRING?

HVA HVIS PROSJEKTER IKKE HANDLER OM KONTROLL OG STYRING? HVA HVIS PROSJEKTER IKKE HANDLER OM KONTROLL OG STYRING? KAOSPILOTENE TOM KARP DIRECTOR / ASSOCIATE PROFESSOR tom@kaospilot.no KAOSPILOTENE EN ALTERNATIV LEDERUTDANNELSE LEDELSE AV INNOVASJON, ENTREPRENØRSKAP,

Detaljer

Kommunikasjon og samspill mellom pårørende og fagpersoner i en ansvarsgruppe

Kommunikasjon og samspill mellom pårørende og fagpersoner i en ansvarsgruppe Kommunikasjon og samspill mellom pårørende og fagpersoner i en ansvarsgruppe Margunn Rommetveit Høgskolelektor Høgskolen i Bergen Avdeling for Helse og Sosialfag Institutt for sosialfag og vernepleie Kommunikasjon

Detaljer

Arv og miljø i stadig endring. Per Holth. professor, Høgskolen i Akershus

Arv og miljø i stadig endring. Per Holth. professor, Høgskolen i Akershus Arv og miljø i stadig endring Per Holth professor, Høgskolen i Akershus Hvis målet er å skape debatt, har Harald Eia hatt stor suksess med TV-serien Hjernevask på NRK. Men hvis suksessen skal måles i hva

Detaljer

VIRKSOMHETSPLAN 2014-2017

VIRKSOMHETSPLAN 2014-2017 VIRKSOMHETSPLAN 2014-2017 Gjelder fra november 2014 til november 2017 Innhold Innledning... 3 Vårt slagord... 3 Visjon... 3 Vår verdiplattform... 3 Lek og læring... 4 Vennskap... 5 Likeverd... 6 Satsningsområder...

Detaljer

REGGIO EMILIA DET KOMPETENTE BARN

REGGIO EMILIA DET KOMPETENTE BARN REGGIO EMILIA DET KOMPETENTE BARN HISTORIKK: Etter krigen: foreldredrevne barnehager i regionen Reggio Emilia i Italia. Reaksjon på de katolsk drevne barnehagene. I de nye barnehagene: foreldrene stor

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Motstand. Fordypningsoppgave. Norsk topplederprogram for helseforetakene Bodø, 12. september 2007

Motstand. Fordypningsoppgave. Norsk topplederprogram for helseforetakene Bodø, 12. september 2007 Fordypningsoppgave Motstand Norsk topplederprogram for helseforetakene Bodø, 12. september 2007 Irene Skiri, Helse Nord RHF Kari Gjelstad, Sykehuset Østfold HF Gina Johansen, UNN HF Problemstilling Vår

Detaljer

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater Sikkerhetsledelse et løpende og langsiktig arbeid - Som ikke alltid gir raske resultater Innhold Fem overordnede prinsipper for sikkerhetsledelse Six impossible things before breakfast Og en oppsummerende

Detaljer

IT strategi for Universitet i Stavanger 2010 2014

IT strategi for Universitet i Stavanger 2010 2014 IT strategi for Universitet i Stavanger 2010 2014 1 Visjon Profesjonell og smart bruk av IT Utviklingsidé 2014 Gjennom målrettet, kostnadseffektiv og sikker bruk av informasjonsteknologi yte profesjonell

Detaljer

Hvilke konsekvenser kan restrukturering av norsk VA-bransje få for samfunnssikkerheten?

Hvilke konsekvenser kan restrukturering av norsk VA-bransje få for samfunnssikkerheten? Hvilke konsekvenser kan restrukturering av norsk VA-bransje få for samfunnssikkerheten? Av Petter Almklov, NTNU Samfunnsforskning Jon Røstum, SINTEF Vann og Miljø NOU 2006:6 Når sikkerheten er viktigst

Detaljer

Fysisk aktivitet og sosial distinksjon

Fysisk aktivitet og sosial distinksjon Fysisk aktivitet og sosial distinksjon Idédugnad Høgskolenettet for fysisk aktivitet I skolen Reidar Säfvenbom Forsvarets institutt Norges idrettshøgskole reidar.sefvenbom@nih.no Den moderne ungdommen

Detaljer

SENSURVEILEDNING PED3522 HØST 2012. Gjør rede for følgende teorier:

SENSURVEILEDNING PED3522 HØST 2012. Gjør rede for følgende teorier: SENSURVEILEDNING PED3522 HØST 2012 Kandidatene skal besvare både oppgave 1 og oppgave 2. Oppgave 1 teller 70 % og oppgave 2 teller 30 % av karakteren. Oppgave 1 (essayoppgave) Gjør rede for følgende teorier:

Detaljer

GJØVIK KOMMUNE. Pedagogisk plattform Kommunale barnehager i Gjøvik kommune

GJØVIK KOMMUNE. Pedagogisk plattform Kommunale barnehager i Gjøvik kommune GJØVIK KOMMUNE Pedagogisk plattform Kommunale barnehager i Gjøvik kommune Stortinget synliggjør storsamfunnets forventninger til barnehager i Norge gjennom den vedtatte formålsparagrafen som gjelder for

Detaljer

DE KRISTNE. Frihet og trygghet for alle. De Kristnes prinsipprogram 2013-2017. DE KRISTNE De Kristnes prinsipprogram 1

DE KRISTNE. Frihet og trygghet for alle. De Kristnes prinsipprogram 2013-2017. DE KRISTNE De Kristnes prinsipprogram 1 Frihet og trygghet for alle. De Kristnes prinsipprogram 2013-2017 De Kristnes prinsipprogram 1 Innhold De Kristne skal bygge et samfunn som er fritt og trygt for alle, uansett hvem man er eller hvor man

Detaljer

Kan cyber-risiko forsikres?

Kan cyber-risiko forsikres? Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn Informasjonssikkerhet

Detaljer

Diskuter egen vitenskapsteoretiske posisjon

Diskuter egen vitenskapsteoretiske posisjon Diskuter egen vitenskapsteoretiske posisjon Arbeidstittelen på masteroppgaven jeg skal skrive sammen med to medstudenter er «Kampen om IKT i utdanningen - visjoner og virkelighet». Jeg skal gå historisk

Detaljer

Hva proaktive indikatorer kan brukes til?

Hva proaktive indikatorer kan brukes til? 1 Hva proaktive indikatorer kan brukes til? Ivonne Herrera Sikkerhetsdagene 2008 Trondheim 13.-14. oktober 2008 2 Proaktive indikatorer? Grunnlag til å gjøre noe før en situasjon blir kritisk i motsetning

Detaljer

Mastergrad Læring i Komplekse Systemer

Mastergrad Læring i Komplekse Systemer Mastergrad Læring i Komplekse Systemer Storefjell 26.04.08 Master of Science; Learning in Complex Systems Backgound AUC runs one of the most highly profiled research programs in applied behavior analysis

Detaljer

Consuming Digital Adventure- Oriented Media in Everyday Life: Contents & Contexts

Consuming Digital Adventure- Oriented Media in Everyday Life: Contents & Contexts Consuming Digital Adventure- Oriented Media in Everyday Life: Contents & Contexts Faglig seminar for DigiAdvent-prosjektet Avholdt ved SIFO 28 august 2003 Av Dag Slettemeås Prosjektets utgangspunkt: Kunnskap

Detaljer

Refleksjonsnotat 1. i studiet. Master i IKT-støttet læring

Refleksjonsnotat 1. i studiet. Master i IKT-støttet læring Refleksjonsnotat 1 i studiet Master i IKT-støttet læring v/ Høgskolen i Oslo og Akershus Hvordan kan jeg med dette studiet bidra til endringer i skole og undervisning? Innhold Informasjon... 2 Den femte

Detaljer

Language descriptors in Norwegian Norwegian listening Beskrivelser for lytting i historie/samfunnsfag og matematikk

Language descriptors in Norwegian Norwegian listening Beskrivelser for lytting i historie/samfunnsfag og matematikk Language descriptors in Norwegian Norwegian listening Beskrivelser for lytting i historie/samfunnsfag og matematikk Forstå faktainformasjon og forklaringer Forstå instruksjoner og veiledning Forstå meninger

Detaljer

Kunnskapsutvikling i nettverk

Kunnskapsutvikling i nettverk Kunnskapsutvikling i nettverk Noen betraktninger NAPHA Erfaringsseminaret 18.01.2012 Trine Moe og Tor Ødegaard Hvem er vi? Tor Ødegaard: Utdannet som politi (1989) Jobbet i politiet og siden 2007 som seniorinspektør

Detaljer

LEK I FREMTIDENS BARNEHAGE. Maria Øksnes Program for lærerutdanning, NTNU

LEK I FREMTIDENS BARNEHAGE. Maria Øksnes Program for lærerutdanning, NTNU LEK I FREMTIDENS BARNEHAGE Maria Øksnes Program for lærerutdanning, NTNU FNS BARNEKONVENSJON Barnet har rett til hvile, fritid og lek, og til å delta i kunst og kulturliv (artikkel 31). GENERELL KOMMENTAR

Detaljer

Forelesning. Høgskolen i Vestfold Kunnskapsledelse våren 2009. Lars Ueland Kobro

Forelesning. Høgskolen i Vestfold Kunnskapsledelse våren 2009. Lars Ueland Kobro Forelesning Høgskolen i Vestfold Kunnskapsledelse våren 2009 Lars Ueland Kobro Pensumlitteratur: Georg von Krogh, Kazuo Ichijo, Ikujiro Nonaka. Slik skapes kunnskap. Hvordan frigjøre taus kunnskap og inspirere

Detaljer

KULTUR OG SYSTEM FOR LÆRING 2012-2013

KULTUR OG SYSTEM FOR LÆRING 2012-2013 KULTUR OG SYSTEM FOR LÆRING 2012-2013 NÆRING FOR LÆRING Jorunn E Tharaldsen, prosjektleder PhD Risikostyring og samfunnssikkerhet Petroleumstilsynet, Arbeidsmiljø/organisatorisk HMS jet@ptil.no Bakgrunn

Detaljer

Verktøy for forretningsmodellering

Verktøy for forretningsmodellering Verktøy for forretningsmodellering Referanse til kapittel 12 Verktøyet er utviklet på basis av «A Business Modell Canvas» etter A. Osterwalder og Y. Pigneur. 2010. Business Model Generation: A Handbook

Detaljer

Kvalitativ metode. Kvalitativ metode. Kvalitativ metode. Kvalitativ metode. Forskningsprosessen. Forelesningen

Kvalitativ metode. Kvalitativ metode. Kvalitativ metode. Kvalitativ metode. Forskningsprosessen. Forelesningen 9. februar 2004 Forelesningen Metode innenfor samfunnsvitenskap og humaniora: Vi studerer en fortolket verden: oppfatninger, verdier, normer - vanskelig å oppnå objektiv kunnskap Metodisk bevissthet: Forstå

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Tillit, risiko og personvern etiske spørsmål. Dag Elgesem Seksjon for humanistisk informatikk Universitetet i Bergen

Tillit, risiko og personvern etiske spørsmål. Dag Elgesem Seksjon for humanistisk informatikk Universitetet i Bergen Tillit, risiko og personvern etiske spørsmål Dag Elgesem Seksjon for humanistisk informatikk Universitetet i Bergen Oversikt Betydningen av tillit i sosiale relasjoner Hva er sammenhengen mellom tillit,

Detaljer

Strategiske lederutfordringer: Hvordan kan tenkning om logistikk og effektivisering kombineres med menneskelige hensyn?

Strategiske lederutfordringer: Hvordan kan tenkning om logistikk og effektivisering kombineres med menneskelige hensyn? Strategiske lederutfordringer: Hvordan kan tenkning om logistikk og effektivisering kombineres med menneskelige hensyn? Prøveforelesning Hans Petter Iversen 07.06.2013 Prøveforelesning Hans Petter Iversen

Detaljer

OPPGAVE 1: ELEVAKTIVE ARBEIDSMÅTER I NATURFAGENE

OPPGAVE 1: ELEVAKTIVE ARBEIDSMÅTER I NATURFAGENE OPPGAVE 1: ELEVAKTIVE ARBEIDSMÅTER I NATURFAGENE Innledning I de 9. klassene hvor jeg var i praksis, måtte elevene levere inn formell rapport etter nesten hver elevøvelse. En konsekvens av dette kan etter

Detaljer

DESIGNSTRATEGI I MØTET MED EN ORGANISASJON

DESIGNSTRATEGI I MØTET MED EN ORGANISASJON DESIGNSTRATEGI I MØTET MED EN ORGANISASJON John Richard Hanssen Trondheim, 14. januar 2014 14.01.2014 Medlem i Atelier Ilsvika og Skapende sirkler. Begge virksomhetene (samvirkene) er tverrfaglige i grenselandet

Detaljer

Eksamensoppgave i PSY2018/PSYPRO4318 Kvalitative forskningsmetoder

Eksamensoppgave i PSY2018/PSYPRO4318 Kvalitative forskningsmetoder Psykologisk institutt Eksamensoppgave i PSY2018/PSYPRO4318 Kvalitative forskningsmetoder Faglig kontakt under eksamen: Eva Langvik Tlf.: 73 59 19 60 Eksamensdato: 04.06.2015 Eksamenstid (fra-til): 09:00

Detaljer

Gevinstrealisering, - en praktisk tilnærming til OU-prosesser

Gevinstrealisering, - en praktisk tilnærming til OU-prosesser Gevinstrealisering, - en praktisk tilnærming til OU-prosesser NSFs ehelsekonferanse 14. mai 2009 Knut Hellwege Prosjektleder/Spesialrådgiver IKT Helse Sør-Øst RHF knut.hellwege@helse-sorost.no, Mobil:934-01665

Detaljer

Mennesker fornyer Slik endrer digitaliseringen Norge klarer stat og kommune å følge med? Vidar Lødrup, direktør kunnskapsledelse, 11.2.

Mennesker fornyer Slik endrer digitaliseringen Norge klarer stat og kommune å følge med? Vidar Lødrup, direktør kunnskapsledelse, 11.2. Mennesker fornyer Slik endrer digitaliseringen Norge klarer stat og kommune å følge med? Vidar Lødrup, direktør kunnskapsledelse, 11.2.14 Abelia landsforeningen for kunnskaps- og teknologibedrifter i NHO

Detaljer

Interfaith samarbeid! Sykehusprest Leif Kristian Drangsholt SSHF

Interfaith samarbeid! Sykehusprest Leif Kristian Drangsholt SSHF Interfaith samarbeid! Sykehusprest Leif Kristian Drangsholt SSHF 2 Forslag til definisjon av åndelig og eksistensiell omsorg: Åndelig omsorg for alvorlig syke pasienter kan forstås som det å oppfatte pasientenes

Detaljer

HR-STRATEGI FOR FORSVARSSEKTOREN

HR-STRATEGI FOR FORSVARSSEKTOREN HR-STRATEGI FOR FORSVARSSEKTOREN Vårt samfunnsoppdrag Eksempler Forsvarssektoren har ansvar for å skape sikkerhet for staten, befolkningen og samfunnet. Endringer i våre sikkerhetspolitiske omgivelser

Detaljer

Metaforer noen dør med

Metaforer noen dør med Metaforer noen dør med Språk og språkobservasjoner om opplevelsen av seg selv hos menn med opiatavhengighet og selvmordsadferd Stian Biong 2011 Livsverdensperspektiv Å få en dypere forståelse av levde

Detaljer

Undervisning i barnehagen?

Undervisning i barnehagen? Undervisning i barnehagen? Anne S. E. Hammer Forskerfrøkonferanse i Stavanger, 8. mars 2013 Bakgrunnen for å stille dette spørsmålet Resultater fremkommet i en komparativ studie med fokus på førskolelæreres

Detaljer

ORGANISASJONSKULTUR OG LEDELSE

ORGANISASJONSKULTUR OG LEDELSE ORGANISASJONSKULTUR OG LEDELSE Omstilling endringsledelse nye bedrifter som fusjonerer er overskrifter som vi ser i aviser og andre medier hver eneste dag. Noen lykkes andre ikke. En av forutsetningene

Detaljer

I følge Kunnskapsløftet er formålet med matematikkfaget å dekke følgende behov: (se s.57)

I følge Kunnskapsløftet er formålet med matematikkfaget å dekke følgende behov: (se s.57) Kunnskapsløftet-06 Grunnlag og mål for planen: Den lokale læreplanen skal være en kvalitetssikring i matematikkopplæringen ved Haukås skole, ved at den bli en bruksplan, et redskap i undervisningshverdagen.

Detaljer

Fremtidens Organisasjoner - Ledelse i en digital tid Førsteam Donatella De Paoli

Fremtidens Organisasjoner - Ledelse i en digital tid Førsteam Donatella De Paoli Fremtidens Organisasjoner - Ledelse i en digital tid Førsteam Donatella De Paoli Arbeid i endring Work is currently undergoing a major transformation in terms of where and how it is carried out. People

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Ved KHiB brukes åtte kriterier som felles referanseramme for vurdering av studentenes arbeid ved semestervurdering og eksamen:

Ved KHiB brukes åtte kriterier som felles referanseramme for vurdering av studentenes arbeid ved semestervurdering og eksamen: VURDERING OG EKSAMEN I KHiBS BACHELORPROGRAM I KUNST 1. Introduksjon til vurderingskriteriene I kunst- og designutdanning kan verken læring eller vurdering settes på formel. Faglige resultater er komplekse

Detaljer

KUNNSKAPSLEDELSE. Strategiske perspektiver. Forelesning. HIVE, mars 2009 Lars Ueland Kobro LARS UELAND KOBRO. telemarksforsking.no Telemarksforsking

KUNNSKAPSLEDELSE. Strategiske perspektiver. Forelesning. HIVE, mars 2009 Lars Ueland Kobro LARS UELAND KOBRO. telemarksforsking.no Telemarksforsking KUNNSKAPSLEDELSE Strategiske perspektiver Forelesning HIVE, mars 2009 Lars Ueland Kobro LARS UELAND KOBRO Kunnskap i bruk Kunnskap er en blanding av erfaring, verdier, kontekstuell forståelse, ekspertinnsikt,

Detaljer

Læreplan i historie - fellesfag i studieforberedende utdanningsprogram. Gyldig fra 01.08.2009

Læreplan i historie - fellesfag i studieforberedende utdanningsprogram. Gyldig fra 01.08.2009 Læreplan i historie - fellesfag i studieforberedende utdanningsprogram Gyldig fra 01.08.2009 Formål Historiefaget skal bidra til økt forståelse av sammenhenger mellom fortid, nåtid og framtid og gi innsikt

Detaljer

Utvikling av bedrifters innovasjonsevne

Utvikling av bedrifters innovasjonsevne Utvikling av bedrifters innovasjonsevne En studie av mulighetene små og mellomstore bedrifter (SMB) gis til å utvikle egen innovasjonsevne gjennom programmet Forskningsbasert kompetansemegling Bente B.

Detaljer

Forskningsmetoder i informatikk

Forskningsmetoder i informatikk Forskningsmetoder i informatikk Forskning; Masteroppgave + Essay Forskning er fokus for Essay og Masteroppgave Forskning er ulike måter å vite / finne ut av noe på Forskning er å vise HVORDAN du vet/ har

Detaljer

SIKKER JOBB-ANALYSE (SJA) EBL Konferanse, 20. 21. oktober 2009 Terje Evensen HMS Konsulent

SIKKER JOBB-ANALYSE (SJA) EBL Konferanse, 20. 21. oktober 2009 Terje Evensen HMS Konsulent SIKKER JOBB-ANALYSE (SJA) EBL Konferanse, 20. 21. oktober 2009 Terje Evensen HMS Konsulent - hvordan komme i gang - tips om bruk - suksessfaktorer - fallgruber - spørsmål/diskusjon HMS- Helse, Miljø og

Detaljer