ISACAs julemøte 4.desember Hvordan kan organisasjonen påvirke informasjonssikkerheten? - sikkerhetsledelses perspektiv

Like dokumenter
Hvordan kan organisasjonen påvirke informasjonssikkerheten?

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Informasjonssikkerhet og ansatte

Ingeir Klemetrud Inspektør / sikkerhetsansvarlig Kriminalomsorgen region sørvest

SIKRING i et helhetsperspektiv

Organisatoriske og kulturelle forhold i HMSrisikobildet. Forskningsutfordringer sett fra et interessentperspektiv

Bokens overordnede perspektiv

SIKRING i et helhetsperspektiv

Prosjekter fangede i sin frihet

Sikkerhet i grensesnitt mellom ulike aktører Energi Norges HMS-konferanse, 13.mai 2014

Sikkerhetsstrategi for norsk vannsektor

Paradigmeskiftet i HMS

Bestått eksamen krever bestått karakter (E eller bedre) på begge oppgavene.

Sikkerhetstenking i vannbransjen noen innledende bemerkninger

«Fyr» Fellesfag, Yrkesretting og relevans Endring og utvikling til beste for elever og lærere på yrkesfaglig utdanningsprogram i VGO

Direktiv Krav til sikkerhetsstyring i Forsvaret

Samfunnsmessige barrierer og drivere for klimaomstilling. Åshild Lappegard Hauge

Er det fruktbart å se risiko fra ulike ståsteder?

Levende usikkerhetsledelse. Pus forum 10/6 09

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Risikoanalyse, kompleksitet og usikkerhet noen refleksjoner Kenneth Pettersen (UiS) Kenneth Pettersen, Universitetet i Stavanger 15.

Koordinatorskolen. Risiko og risikoforståelse

Sikkerhetskultur. Fra måling til forbedring. Jens Chr. Rolfsen

Lederskap for å skape relevans for framtiden 1

Ulykkesgranskning rammebetingelser for læring og forbedring. Stig B. Stangeland

Building Safety et samarbeid for utvikling av robuste organisasjoner

Sikkerhetsstyringssystem for taubaner og fornøyelsesinnretninger

Anbefalinger PTIL/PSA

Ledelse og kvalitet i skolen. Rica Hell Hotel, 9 og 10 februar 2012.

KULTUR OG SYSTEM FOR LÆRING

Etiske dilemmaer og paradokser i sikkerhetsarbeid Hvordan skape både et trygt regjeringskvartal og samtidig et åpent og levende byområde.

Når en statisk forvaltningskultur møter en dynamisk teknologiutvikling. Arild Haraldsen Partnerforum

Retningslinje for risikostyring for informasjonssikkerhet

Hva er sikkerhet for deg?

Sikkerhetskultur - Utfordringer og mulige løsninger: Erfaringer fra luftfart

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE

Studieplan 2019/2020

Notat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

FRA STYKKEVIS OG DELT SKOLEN I ET SYSTEMPERSPEKTIV

Informasjonssikkerhet i UH-sektoren

Om kartlegging av digital sikkerhetskultur

Innhold. Forord, 6. utgave... 11

Sikkerhetsarbeide og kultur. 5 januar 2016

Robuste organisasjoner - hvorfor ting går godt

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Møte med det krenkede mennesket. Heidi Hetland 2008

1: SAMSPILLET MELLOM MENNESKER OG ORGANISASJONSKULTUREN

Endringsledelse i Drammen Taxi BA Glenn A. Hole

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

I OPPMERKSOMHETEN LIGGER KUREN

FORRETNINGSFORSTÅELSE OG ORGANISASJONSUTVIKLING I PROSJEKTER. Roger Klev Praxes AS

På partnerforums frokostmøte spør vi:

Velkommen til sertifisering i persolog personprofiler

INEC1820 Organisasjon og ledelse 11 september. Kapittel 4: Organisasjonskultur Kapittel 5: Makt i organisasjoner. Egil Øvrelid

Teamledelse nøkkelen til suksess i store desentraliserte organisasjoner Hvordan oppnå endring gjennom bruk av lederteamets kompetanse og ressurser

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Måling og utvikling av sikkerhetskultur

Ut fra hvilke perspektiver kan Universitetene forstås? ARK-konferansen 2018 Scandic Airport Hotel, Gardermoen,

Signe Astrup Arnesen Sikkerhetsdirektør Avinor. Vegtilsynets konferanse om sikkerhetsstyring 13. Juni 2013

HMS-utfordringer ved innleie av arbeidskraft

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning

Sammenhengen mellom og

Endringsledelse PASIENTREISEKONFERANSEN 2015

Menneskebilder: Samarbeid, egoisme, individualisme og rasjonalitet

ENDRINGS- OG UTVIKLINGSLEDELSE GODE PASIENTFORLØP

Samhandling Etikk kommunikasjon - taushetsplikt

Bevaring i samlingsforvaltning. Douwtje van der Meulen

HMS i Petroleumsnæringen. ringen

Dialogens helbredende krefter

Styring av risiko og samfunnsansvar i Asker kommune

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Ny ISO 9001:2015. Disclaimer:

Risiko og sikkerhet i transportsektoren et transportovergripende forskningsprogram

Induco et lederutviklingsprogram i samarbeide mellom NHO og NTNU

INNOVASJON. Hva er det? hvordan få det til? Bjørn Olsen Professor og dekan Handelshøgskolen Universitetet i Nordland

«Operasjoner i et utfordrende miljø, hvordan opprettholde et høyt sikkerhetsnivå over tid?».

På tvers av det meste sammen med de fleste

Presentasjon ved barnehagekonferanse Høgskolen i Østfold 4. mai 2012 Anne-Lise Arnesen anne-lise.arnesen@hiof.no

Trusselvurderinger og sikkerhet for personell i skoler EMSS. Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune

Utvikling av Sammenhengskraft i Varde Kommune En strategisk relasjonell tilnærming til samhandling

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

IKT-sikkerhet som suksessfaktor

Statens økonomistyring som middel til å hindre systemsvikt

Oppdateringsseminar Mikroflyseksjonen. Gardermoen Februar 2009 Risikobasert sikkerhetsstyring

DEMOKRATIETS - HVA KAN IKT BIDRA TIL Å LØSE? PROBLEMER DRI 3010 SENTER FOR RETTSINFORMATIKK. Signe Bock Segaard Institutt for samfunnsforskning

DET DIGITALE TRUSSEL- OG RISIKOBILDET

Vegvesenboka. Ledelse, styring og organisering. <Navn> <Avdeling, sted>

Hvordan sikre seg at man gjør det man skal?

Hvordan skape og opprettholde gode sikkerhetsresultater over tid? Et eksempel fra et utviklingsprogram for offshore servicefartøyer

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Oppgaver Oppgavetype Vurdering Status 1 ORG110, forside Sammensatt Automatisk poengsum Levert

ENDRINGS- OG UTVIKLINGSLEDELSE

estudie.no Norges ledende e-læringsportal - presenterer: Konfliktløsing Skrevet av: Kjetil Sander Januar 2018

«Lederutvikling gode verktøy er en suksessfaktor» Ketil Olsen Daglig leder / Partner Volo AS

Anvendt etikk et bidrag for å styrke havbruket?

- forstå reaksjoner og kjenne

Fra risikoanalyse til risikostyring: Er risikomatrisen et tilstrekkelig verktøy?

Transkript:

ISACAs julemøte Hvordan kan organisasjonen påvirke informasjonssikkerheten? - sikkerhetsledelses perspektiv Dr.ing stipendiat Inst. for industriell økonomi og teknologiledelse, NTNU http://www.iot.ntnu.no/users/albrecht/ eirik.albrechtsen@iot.ntnu.no 1 Dr.ing arbeid 2 IT risk management Teoretisk rammeverk: MTO perspektiv Hva er IT risiko? Hvordan redusere risikoen til et akseptabelt nivå risk management strategier Case-studie av IT-sikkerhetsansvarlig Mer info på: www.iot.ntnu.no/users/albrecht/ 1

Hvordan kan organisasjonen påvirke informasjonssikkerheten? Et spørsmål det er umulig å svare på i løpet av så kort tid som det kan skrives flere avhandlinger om Sett fra forskningens ståsted Tradisjonelt fokus: teknologiske løsninger og problemer byråkratisk tankegang/tro på strukturell organisasjon lite fokus på organisatoriske forhold Akademisk presentasjon. Teori Hvorfor påvirker organisasjonen informasjonssikkerhetsnivået 3 Hvordan kan organisasjonen påvirke informasjonssikkerheten? En organisasjon er et komplekst og omfattende system med mange komponenter Alt som kan sies å være en del av organisasjonen vil kunne påvirke informasjonssikkerheten Kontekstavhengig For eksempel størrelse, omgivelser, IT avhengighet, type virksomhet, etc Ikke noe fasitsvar på spørsmålet 4 2

Hvordan kan organisasjonen påvirke informasjonssikkerheten? 5 Noen org.forhold som kan påvirke sikkerhetsnivået Konseptet organisatoriske forhold har et stort omfang i forhold til innhold og forståelse Sikkerhetskultur Press mot sikkerheten fra andre virksomhetsområder Org.læring etter uønskete hendelser Strategier for sikkerhetsledelse Bruk av retningslinjer/regler for adferd 6 3

7..enda flere org.forhold som påvirker Kunnskap/kompetanse Kommunikasjon Beslutningsprosesser, makt Deltakelse/involvering i sikkerhetsarbeidet Ledelsens engasjement Bevisstgjøring Ivaretakelse av krav i omgivelsene Ansvarsfordeling Mål, krav og handlingsplaner Avvikshåndtering Kontinuerlig forbedring Opplæring/trening Sikkerhetsstyring (eks. revisjon, risikoanalyse) Forebyggende og skadebegrensende tiltak etc Perspektiver på organisasjoner Basert på Morgan(1988) og Bolman & Deal (1991) Strukturell, formelt, maskin, byråkrati Kultur, sosiale relasjoner Menneskelige ressurser Politikk, interessekonflikter, makt Omgivelser Læring, kunnskap Teknologi Indre fengsler Endringer 8 4

Grense for funksjonelt akseptert sikkerhetsprestasjon Mulighetsrom Grense for økonomisk risiko Sikkerhetsledelse Brownske bevegelser Press for effektivitet Minste anstrengelse Grense for uakseptabel arbeidsbelastning 9 Etter Rasmussen (1997), Risk management in a dynamic society: a modeling problem Sikkerhetskultur 10 Et motekonsept Hvilke sikkerhetsproblemer er det som ikke kan løses ved sikkerhetskultur? Sikkerhetskultur vs myk sikkerhet Organisasjonskultur må forståes som en kollektiv representasjon over hvordan folk tenker og handler i en virksomhet Bolman og Deal (1998): Kultur er et mønster av felles, tilgrunnliggende antakelser som en gruppe har kommet frem til etter hvert som den har løst sine problemer når det gjelder ytre tilpasning og integrering, som har fungert godt nok til å bli betraktet som holdbare, og som derfor læres bort til nye medlemmer som den riktige måten å oppfatte, tenke og føle på i forhold til disse problemene. 5

Kan kulturen påvirkes/endres? Kultur er dynamisk og vil endres, men kan den påvirkes? Ikke bare å slå på en bryter Skal vi utvikle en kultur må samhandlingsmønstre endres Sett variabler: eks. verdier, trosforestillinger, historier, normer og ritualer. Mekanisk holdning til disse? 11 Myk sikkerhet ( kultur ) Sikkerhetskultur er et vanskelig begrep, men samtidig et populært begrep Alle myke tiltak kan virke positivt på en eller annen måte Motekonseptet sikk.kultur har derfor sine positive sider, selv om innholdet i motekonseptet ikke alltid stemmer overens med forskningens oppfatning av sikkerhetskultur 12 6

Myk Sikkerhetskultur Holdninger Adferd Kunnskap etc Hard og strukturell sikkerhet Hard og strukturell Teknologiske løsninger Strukturelt perspektiv på org. Org.kart Org.policy Retningslinjer Standarder Lover etc Myk sikkerhet 13 Antallet retningslinjer, standarder og etterfulgte lovverk trenger ikke å bestemme sikkerhetsnivået Søndagsteori (theory of action). Det man sier man gjør Hverdagsteori (theory in use). Det man faktisk gjør Dilemma ved risikoanalyse, revisjon og forskning. I intervju/samtaler vil ofte søndagsteorien komme frem 14 7

Må ha litt yin og litt yang, og samtidig forsøke å tilpasse disse til å være komplementære. Må ha både myk og hard sikkerhet, og at disse må være i overensstemmelse med hverandre Organisasjoner må ikke gå i fella og tro at retningslinjer mm følges til punkt og prikke i det daglige arbeidet 15 Risk Management strategier Risk-based, precautionary & discourse Kompleksitet, usikkerhet ved risiko tilsier at IT risk management i hovedsak bør baseres på føre-var -strategier. Tverrdisiplinær forskning og vurdering (MTO) Konstant overvåkning/monitorering Redundans og mangfold i beskyttelse ( I dybden ) Ansvarsfordeling Ingen toleranse policy I ekstreme tilfeller: forbud 16 8

MTO perspektiv 17 Tverrdisiplinær tilnærming til info.sikkerhet Integrere mennesker, teknologi og organisasjon Eksempel: kunnskap Teknisk IT Bruk av IT Organisasjon/ledelse Adferd/holdninger Organisatorisk læring av uønskede hendelser En hver uønsket hendelse representerer en sårbarhet i systemet, og er således en gylden anledning til å lære Organisatorisk læring skaper redundans og distribusjon av kunnskap Læring utover brannslukking Organisasjonsutvikling, langsiktige forbedringer Alltid læring tilstede ved en hendelse, negativt eller positivt Produktiv læring: læring som forbedrer utførelsen av sikkerhetsarbeidet og de bakenforliggende verdiene for dette arbeidet 18 Dæm viktigste kampan e dæm du itj har spælt ennå Nils Arne Eggen 9

Barrierer mot org.læring Truende og pinlige situasjoner skaper forsvarsmekanismer Karakteristikker ved organisasjonen Politiske dilemmaer Oppdager og reagerer ikke på hendelsen, rapportering av hendelser, feil læring som en følge av feil årsaksanalyse Competence trap ikke-hensiktmessig læring, som man tror er den beste løsningen 19 20 Organisasjonen påvirker på mange måter sikkerhetsnivået Positivt Negativt En organisasjon er komplekst sammensatt av mange faktorer som alle vil kunne påvirke sikkerheten på et eller annet vis Hvilke forhold som påvirker er kontekstavhengig Viser at et MTO-perspektiv er nødvendig for å ivareta sikkerheten eirik.albrechtsen@iot.ntnu.no 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding