Slik kan du styrke sikkerhetskulturen med kommunikasjon

Transkript

1 Slik kan du styrke sikkerhetskulturen med kommunikasjon Onar Aanestad, kommunikasjonsdirektør 19. oktober 2016 Difis høstkonferanse om informasjonssikkerhet i offentlig sektor

2

3 22. juli-kommisjonen Kommisjonens viktigste anbefaling er at ledere på alle nivåer i forvaltningen systematisk arbeider med å styrke sine egne og organisasjonens grunnleggende holdninger og kultur knyttet til risikoerkjennelse, gjennomføringsevne, samhandling, IKTutnyttelse, og resultatorientert lederskap.

4 4 overordnede mål for informasjonssikkerheten 1. Styrket samordning og felles situasjonsforståelse 2. Robust og sikker IKT-infrastruktur i hele samfunnet 3. Sterk evne til å håndtere uønskede IKT-hendelser 4. Høy kompetanse og sikkerhetsbevissthet Kilde: Nasjonal strategi for informasjonssikkerhet

5 Hva er sikkerhetskultur? Sikkerhetskultur er summen av de ansattes kunnskap, motivasjon, holdninger og atferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd. (Nasjonal sikkerhetsmyndighet) 5

6 Klarspråk gjør at du finner det du trenger forstår det du finner kan bruke det du finner, til å gjøre det du skal

7 Det vanskelige er ikke å lage en god rapport. Det vanskelige er å huske hvilken skuff du har lagt den i.

8 Lånekassen 2013

9 I XXX har vi kontrollrutiner og systemer som bidrar til at de økonomiske og juridiske virkemidlene blir forvaltet i samsvar med Stortingets forutsetninger ( ) XXX har intern kontroll som skal sikre god kontroll ( ) Seksjon ekstern kontroll har som oppgave å ( ) Målet er å sikre

10 Forsvarsbygg

11 Väsby

12 Sikkerhetsorganisasjonen i SPK Adm. direktør Årlig risikovurdering av sikkerhet med tiltaksplan Sikkerhetsleder Sikkerhetsrådet Organisasjonen: Pensjonering Kunder og marked Forsikring og produkt Kapitalforvaltning IT Virksomhetsstyring HR Kommunikasjon Styringssystem for sikkerhet basert på ISO 27001: 2005 SPKs sikkerhetspolitikk, retningslinjer, rutiner og roller

13 RISIKOANALYSEN VISTE AT SPK MÅTTE STYRKE SIKKERHETSKULTUREN

14 Page mai 12 Vi trengte en sikkerhetskampanje for å gi ledere og medarbeidere kunnskap om trusler og riktig atferd motivere ledere og medarbeidere til å tenke riktig og selv utfordre holdningene til ledere og medarbeidere endre sikkerhetsatferden til ledere og medarbeidere

15 Page mai 12 Vi trengte en sikkerhetskampanje for å gi ledere og medarbeidere kunnskap om trusler og riktig atferd motivere ledere og medarbeidere til å tenke riktig og selv utfordre holdningene til ledere og medarbeidere endre sikkerhetsatferden til ledere og medarbeidere Det viktigste var å endre atferd. Og vi ville få ansatte til å smile litt. Også på do.

16 Praktisk tilnærming til første måling i juni 2012 Vi prioriterte spørsmål på områder hvor risikovurderingen og egne funn viste at SPK hadde sikkerhetsutfordringer hvor årsaken trolig handlet om kunnskap, motivasjon, holdninger og atferd. Page 16

17 Hva viste nullpunktsanalysen? Ansatte hadde for liten kunnskap God vilje, men naivitet og snillisme preget atferden Ansatte var ikke bevisste nok på sikkerhet i arbeidshverdagen Atferden måtte endres på flere områder, og adgangskontroll var en symptomatisk og stor utfordring Sikkerhet var ikke fremst i pannebrasken 17

18

19

20 20

21 21 VIRKET KAMPANJEN?

22 I hvor stor vil sikkerhetsdagen endre din sikkerhetsatferd? 53,8 % 30,8 % 13,5 % 1,9 % Nei Lite I noen grad I stor grad 22

23 Jeg vet hvordan jeg skal melde fra om mulige sikkerhetsproblemer i SPK 88,1 % Juni 54,3 % Desember 46,7 % 11,9 % Ja Nei

24 Jeg vet hvor jeg finner informasjon om sikkerhetsregler i SPK 56,1 % 50,3 % 40,9 % Juni 24,4 % Desember 19,5 % 8,7 % Helt enig Delvis enig Uenig

25 Jeg vet hvor jeg skal møte dersom brannalarmen går 84,7 % 91,6 % Juni Desember 15,3 % 8,4 % Ja Nei

26 Jeg synes det er ubehagelig å be noen vise adgangskort 55,9 % 29,3 % 14,9 % Ja, veldig Ja, litt Nei

27 Jeg synes det er ubehagelig å be noen vise adgangskort 59,6 % 55,9 % 29,3 % 16,1 % 14,9 % 24,2 % Juni Desember Ja, veldig Ja, litt Nei

28 Jeg ber om å få se adgangskort når jeg møter ukjente uten synlig adgangskort 70,5 % 37,4 % 27,6 % 48,8 % Juni Desember 13,9 % 1,8 % Nei, aldri Noen ganger Alltid

29 Fase 2: måling, ledere og opplæring 1. Kartlegging og effektmåling høyt prioritert 2. Nye sikkerhetsbud og plakater bygget på ansattes bidrag på sikkerhetsdagen 3. Lederne ble viktigste kanal og målgruppe a. Nullpunktsundersøkelse mai-juni 2013 hvor vi målte sikkerhetskulturen blant ledere. b. Workshop med diskusjon av funn og tiltak 4. Opplæringspakke for nyansatte og eksisterende medarbeidere

30

31

32 Hva viste lederundersøkelsen? Tydelige forskjeller mellom de tre ledernivåene Ikke fryktkultur, men for lite frykt? Sikkerhet er ikke et sentralt tema i hverdagen 32

33 Sikkerhet er en viktig del av jobben min ,8 62, ,3 33,3 33,3 37, ,8 12,5 0 Ikke i det hele tatt I liten grad I noen grad I stor grad I svært stor grad Avdelingsleder Mellomleder Toppleder

34 Sikkerhetsrådet har hovedansvaret for sikkerhet i SPK 60 55, ,8 44, ,5 37,5 37, ,5 10 6,3 0 Ikke i det hele tatt I liten grad I noen grad I stor grad I svært stor grad Avdelingsleder Mellomleder Toppleder

35 Noen ganger er det ikke mulig å følge sikkerhetsreglene hvis jeg skal få jobben gjort Uenig; 100 Uenig; 87,5 Uenig; 66,7 Enig; 33,3 Enig; 12,5 Avdelingsleder Mellomleder Toppleder

36 Det er naturlig å vente med å melde fra om uønskede hendelser til jeg har prøvd å rette opp feilen selv Uenig; 100 Uenig; 86,7 Uenig; 55,6 Enig; 44,4 Enig; 13,3 Avdelingsleder Mellomleder Toppleder

37 Min enhet jobber systematisk og målrettet for å unngå uønskede hendelser , , ,8 10 6,3 0 Ikke i det hele tatt I liten grad I noen grad I stor grad I svært stor grad Avdelingsleder Mellomleder Toppleder

38 Min enhet gjennomfører jevnlig risiko- og sårbarhetsanalyser , , , ,5 12,5 12,5 0 Ikke i det hele tatt I liten grad I noen grad I stor grad I svært stor grad Ikke relevant Avdelingsleder Mellomleder Toppleder

39 Når vi oppdager uønskede hendelser, frykter vi negative reaksjoner ,3 12,5 13,3 13,3 12, Ikke i det hele tatt I liten grad I noen grad I stor grad I svært stor grad Avdelingsleder Mellomleder Toppleder

40 60 Det får konsekvenser for ledere og medarbeidere når ikke sikkerhetsreglene følges , ,7 0 Ikke i det hele tatt I liten grad I noen grad I stor grad I svært stor grad Avdelingsleder Mellomleder Toppleder

41 Dette lærte vi: 1. Start med en nullpunktsmåling 2. Mål endring løpende, minst en gang i halvåret 3. Mål det som er viktigst for virksomheten, ikke det du tror boka sier 4. Ikke vent på de perfekte metodene, tør å gjøre det enkelt 5. Målingen skal kunne brukes til noe 6. Lederne er viktigst mål dem spesielt 7. La tallene vise igjen det skaper handling /

42

43