SjekkIT. et verktøy for måling og forbedring av sikkerhetskultur og sikkerhet. SINTEF Teknologi og Samfunn

Transkript

1 SjekkIT et verktøy for måling og forbedring av sikkerhetskultur og sikkerhet SINTEF Teknologi og Samfunn Teknologi og samfunn 1

2 Bakgrunn (og bias ) Seniorforsker SINTEF sikkerhet (safety and security) : Sikkerhetskultur: ( UIC, JBV) & ( Telenor, Statoil/Hydro, NSM) Samarbeid med OLF, Ptil sikkerhet i integrerte operasjoner (IT/SAS) & samarbeid om sikkerhet og robusthet - (USA) IFIP WG 11.10, National Academy of Sciences Deepwater Horizon PhD innen sikkerhet og robusthet ved NTNU Praksis teknolog /endringsledelse : Teknolog: Siv.Ing & Master - Technology Management NTNU /MiT Prosjektleder: Arthur Andersen & Co./Accenture IT-sjef/ IT-direktør: Større endringsprosjekter Teknologi og samfunn

3 Posisjon Sikkerhetskultur er et viktig perspektiv for å forstå og forbedre sikkerheten Sikkerhetskultur kan avdekkes (forstås) og forbedres - Inspirert av tradisjonen fra E.Schein/MiT (1992) Forbedring av sikkerhetskultur krever gode møteplasser og prosesser som fokuserer både på struktur og kultur - inspirert av norske aksjonsforskere som Klev og Levin (2009) Teknologi og samfunn 3

4 Agenda 1. Teoretisk bakgrunn for SjekkIT 2. Metoden SjekkIT hva er det 3. Hvordan forbedre sikkerheten med SjekkIT Teknologi og samfunn 4

5 Sikkerhetskultur definisjon Holdninger, kunnskap og atferd som sier noe om hvordan helse, miljø og sikkerhet (HMS) ivaretas. The safety culture of an organisation is the product of individual and group values, attitudes, perceptions, competencies and patterns of behaviour that determine commitment to, and the style and proficiency of, an organisation s health and safety management. [From Advisory Committee for Safety on Nuclear Installations-93] Teknologi og samfunn 5

6 Kultur - en av flere faktorer som påvirker HMS Struktur - Ledelse, organisering - Prosesser, rutiner Kultur - Kunnskap, holdning, - Adferd HMS f.eks IT sikkerhet Reduksjon og håndtering av uønskede hendelser Dvs Kultur må ses i en større sammenheng og flettes sammen med andre forhold for å oppnå forbedringer Teknologi og samfunn 6

7 Utviklingstrinn - sikkerhetskultur Westrum (1991) Økt informasjon og kunnskap Generativ Sikkerhet integrert Proaktiv Regelorientert Vi har regler Reaktiv Patologisk (bli ikke tatt) Økt tillit Teknologi og samfunn

8 Integrert sikkerhet koster Teknologi og samfunn 8

9 Endring i perspektiver på styring Byråkratisk kontroll - detaljerte instrukser og regler - tidkrevende og lite fleksibelt Kulturell kontroll, etablere felles verdier og mål - de riktige aksjonene skjer uten detaljstyring - Fleksibelt - Valg ut fra kunnskap vs ideologisk tvangstrøye? - Tilpasset Nettverksorganisasjoner Teknologi og samfunn 9

10 Agenda 1. Teoretisk bakgrunn for SjekkIT 2. Metoden SjekkIT hva er det 3. Hvordan forbedre sikkerheten med SjekkIT Teknologi og samfunn 10

11 SjekkIT måle og forbedre SjekkIT er laget for å måle og forbedre IT-sikkerhetskultur SjekkIT er basert på god praksis og teori bl.a fra Shell - Hearts and mind Verktøyet er tilpasset i samarbeid med Statoil, Hydro, NSM, Telenor og JBV se Teknologi og samfunn 11

12 SjekkIT tema og prosess 1. Tema/sjekkliste: Basert på å gjennomgå/diskutere sentrale tema fra sikkerhet og sikkerhetskultur 2. Prosess/søkekonferanser: Etablere en forbedringsprosess - basert på erfaringene fra aksjonsforskning med involvering av sentrale aktører i søkekonferanser Målet er å forbedre holdninger, kunnskap og adferd i grupper slik at sikkerheten kan forbedres Teknologi og samfunn 12

13 Accidents Shell Hearts and Minds etter 15 år Forbedre både struktur og kultur Forbedre sikkerhetskultur involvering og fokus på organisasjonslæring Ref: (SPE 2002, Hudson et al : Hearts and Mind : The status after 15 years Research ) Høy sikkerhetskultur har konsekvenser - Shell valgte å ikke bore etter olje i vanskelige felt i Mexicogulfen Reduksjon av ulykker og HMS hendelser Teknologi og samfunn

14 BP valgte å bore i Mexicogulfen 2010 Teknologi og samfunn

15 Eksempler på områder i SjekkIT 1. Kunnskap og holdninger eks. Klare og aksepterte mål 2. Rapporteringskultur & Løpende læring av hendelser 3. Adferd sikkerhet ved bruk av fjernarbeid 4. Policy og ledelse - kommunikasjon, sikkerhet i prosjekter 5. Spesielle fokusområder/tilleggspørsmål (Vedlegg med flere tilleggspørsmål) Teknologi og samfunn 15

16 Spesielle fokusområder - tilpassning Eksempler: 1.Informasjonsikkerhet i prosjekter integrert fra starten eller etterpåklokskap? 2.Informasjonssikkerhet i mobile løsninger / i skyene (cloud cumputing)? 3.Robusthet/resilience evne til gjenvinning og ivareta kritiske funksjoner ved svikt/angrep? Hollnagel (2006) Teknologi og samfunn 16

17 Eksempel på spørsmål Hvordan håndteres informasjonssikkerhet i prosjekter?; Informasjonssikkerhet er ikke et tema når nye prosjekter planlegges. Eventuelle problemer knyttet til informasjonssikkerhet blir utsatt til gjennomføringsfasene av prosjekter og løses etter hvert. Informasjonssikkerhet blir tatt hensyn til i prosjekter, og deltakerne er alle autoriserte til å kunne gjøre jobben. Prosjektene skal følge etablerte prosedyrer, regler og relevant lovverk. Når nye prosjekter planlegges blir informasjonssikkerhet vurdert i startfasen. Risiko- og sårbarhetsanalyser gjennomføres og informasjonssikkerhet integreres og testes løpende. Prosjektgruppene har forståelse for at informasjonssikkerhet er av kritisk betydning. Teknologi og samfunn 17

18 Liste over spørsmål Teknologi og samfunn 18

19 Eksempel på skjema (Skala fra 1.. til 5) Spørsmål Patologisk Regelstyrt Ideell Teknologi og samfunn 19

20 Agenda 1. Teoretisk bakgrunn for SjekkIT 2. Metoden SjekkIT hva er det 3. Hvordan forbedre sikkerheten med SjekkIT Teknologi og samfunn 20

21 Prosessen og organisering Vurdering og forslag til tiltak (SjekkIT) Refleksjon og læring av endringene Søkekonferanser (1-2 dags samling med aktørene) Håndtering - Prioritering og planlegging av tiltak Håndtering - Evaluering av tiltak Håndtering - Sette i verk tiltak Teknologi og samfunn

22 Sikkerhet kan forbedres via kultur Ref: Antonsen S., Ramstad L. and Kongsvik T., (2007) Unlocking the organization: Action research as a means of improving organizational safety, Safety Science Monitor, vol. 11(1). Teknologi og samfunn 22

23 Involver nettverket Virksomhet Underleverandør Underleverandør Underleverandør Oppsplitting Internt Marked Tjenester Virksomhet Virksomhet Kunde Kunder Teknologi og samfunn 23

24 Minimum - bruk av SjekkIT ½ dag Prosjektdefinisjon og Organisering Fokusområder, deltakere, indikatorer for måling ½ dag Gruppediskusjon ½ dag Vurdering av sikkerhetskultur/sikkerhet via utfylling av spørreskjema og diskusjon i grupper. Identifisere tiltak & Enighet om tiltak. Oppfølging av indikatorer og tiltak. Endring/utvikling av sikkerhetskultur kan ta lang tid og krever ledelssesfokus Teknologi og samfunn 24

25 Bruk av SjekkIT SjekkIT som egen separat aktivitet årlig innsamling av data (skjema/ eller web basert mange muligheter) Integrasjon opp mot andre prosesser/aktiviteter Risiko og sårbarhetsvurdering (Grovanalyse) eller andre forbedringstiltak hvor sjekkit er integrert Teknologi og samfunn 25

26 Fokus på indikatorer Måling Forbedringsprosess Indikatorer Refleksjon Iverksette tiltak Identifisere indikatorer og sørg for at de kan måles og følges opp Arenaer for refleksjon: Iverksette tiltak: Teknologi og samfunn 26

27 Agenda 1. Teoretisk bakgrunn for SjekkIT 2. Metoden SjekkIT hva er det 3. Hvordan forbedre sikkerheten med SjekkIT Teknologi og samfunn 27

28 Sikkerhetskultur i fokus Sikkerhetskultur er et viktig perspektiv for å forstå og forbedre sikkerheten Sikkerhetskultur kan avdekkes (forstås) og forbedres - Inspirert av tradisjonen fra E.Schein/MiT (1992) Forbedring av sikkerhetskultur krever gode møteplasser og prosesser som fokuserer både på struktur og kultur - inspirert av norske aksjonsforskere Levin (2007) SjekkIT kan bidra Teknologi og samfunn 28

29 Sikkerhetskultur uønskede hendelser 2010 Teknologi og samfunn

30 Spørsmål / Diskusjon Teknologi og samfunn

31 Referanser ACSNI (1993). Advisory Committee on the Safety of Nuclear Installations. Study Group on Human Factors, Third Report: Organising for Safety. HSMO, London. Antonsen S., Ramstad L.R, Kongsvik, T. Unlocking the Organization: Action Research as Means of Improving Organizational Safety Safety Science Monitor, Issue , Article 4, Vol 11 (tilgjengelig åpent på web) Hollnagel, E. Woods D., Leveson N. (2006) Resilience Enginering Ashgate Hudson, P. and van der Graaf, G. C. (2002). Hearts and Minds: The status after 15 years Research. Society of Petroleum Engineers (SPE 73941) International conference on HSE in Oil and Gas Exploration and production. Kuala Lumpur March IEC (2008). Security for industrial process measurement and control - Network and system security, ISO/IEC se også ISA (etc..) Klev, R. and Levin, M. (2009). Forandring som praksis: Læring og utvikling i organisasjoner Fagbokforlaget. Kotter (1996) Leading Change Harvard Business School Press Lopez, Wolthusen, and Setola. Advances in Critical Infrastructure Protection: Information Infrastructure Models, Analysis, and Defence ; Volume no in 'Lecture Notes in Computer Science' Springer-Verlag Teknologi og samfunn Stig.o.johnsen@gmail.com

32 Referanser ISO/IEC (2005). Information technology -- Security techniques -- Information security management systems Requirements, ISO. Johnsen, S. O., Hansen, C. W., Nordby, Y., Dahl, M. B.; How to measure and improve IT safety and security culture (CheckIT), Proceedings from Asia Pacific Conference on Risk Management and Safety 2005, ISBN , pp , ligger ute på Johnsen, S.O., Veen, M. (2011). Risk Assessment and Resilience of Critical Communication Infrastructure in Railways. In Journal of Cognition Technology & Work, DOI /s Norwegian Petroleum Authority - PSA (2010) NTSB (2005) National Transportation Safety Board (2005). Safety Study Supervisory Control and Data Acquisition (SCADA). Report NTSB/SS-05/02. Schein E.H. (1992). Organisational Culture and Leadership, Jossey-Bass. SafeCulture - UIC & RSSB - Westrum R.(1991) Cultures with requisite imagination. In J. Wise, P. Stager & J. Hopkin (Eds), Verification and validation in complex systems. New York: Springer Teknologi og samfunn Stig.o.johnsen@gmail.com

33 Andre lysark i reserve Teknologi og samfunn

34 SjekkIT og scenariediskusjon 1. Relevante scenarier 2. Beskrivelse 3. Kritiske hendelser Teknologi og samfunn 34

35 Indikatorer fra oljebransjen (Ref PSA/RNNS 2009) Teknologi og samfunn

36 Risk communication and traffic accidents Adams (2005) Teknologi og samfunn

37 Proactive indicator Proactive Indicator A simple metric (KPI, signal,..) enabling us to act before a situation becomes a source of crisis a risk influencing factor. Example : "Low fly the swallows, rain to follow. Proactive Indicators Teknologi og samfunn RIO April 2010

38 United airlines US airways Continental Northwest Delta airlines American Airlines Southwest Airlines America West Frontier Airlines Jet Blue Airlines (Reported minor) accident rates / 10 5 flight hours US Majors Vs Low Cost (HRO Conf Hollnagel) 5 4,5 4 3,5 3 2,5 2 1,5 1 0, Major Airlines Low Cost Teknologi og samfunn

39 Fatal Accident rates / 10 5 flight hours US Majors Vs Low Cost (HRO Conf Hollnagel) United airlines US airways Continental Northwest Delta airlines American Airlines Southwest Airlines America West Frontier Airlines Jet Blue Airlines 0,18 0,16 0,14 0,12 0,1 0,08 0,06 0,04 0, Major Airlines Low Cost Teknologi og samfunn

40 Generelt endringer (mindre og større) - Følges opp via dobbelkretslæring Enkelkretslæring ref: Argyris og Schön (1974) vs Dobbelkretslæring, Teknologi og samfunn 40

41 Er risikobildet kjent og komplett? Teknologi og samfunn

42 God Sikkerhetskultur gir lavt antall uhell og hendelser Itoh og Andersen (2004) : Motivasjon og holdninger var nøkkelfaktorer for å forklare god sikkerhet (korrelasjon opp mot hendelser og ulykker) Korrelasjon med: Grundig og god opplæring, Ledelsen og deres fokus på sikkerhet Enkle og gode prosedyrer og sjekklister utarbeidet I samarbeid med ansatte Arbeidsbelastning Teknologi og samfunn 42

43 Ulykker dårlig sikkerhetskultur? Chernobyl The accident can be said to have flowed from deficient safety culture (IAEA 1992: 23) Chernobyl, 1986 Aksept for å avvike fra rutiner og regler Tro på at en alltid kan styre teknologien Fokus på produksjon vs sikkerhet Piper Alpha 167 døde Piper Alpha, 1988 It is essential to create a (...) culture in which safety (...) is accepted as the number one priority (Cullen 1990: 300) Teknologi og samfunn