Vi trenger en debatt om menneskelige faktorer og IT-sikkerhet. Hva gjør du som IT-sikkerhetsmedarbeider for å harmonisere virksomhetens sikkerhetsregime med de ansattes behov for å utføre sine arbeidsoppgaver så friksjonsfritt som mulig?
Menneskelige faktorer som påvirker IT-sikkerheten, er mange og til tider kompliserte i sin sammenheng. En av de mest allmenngyldige er menneskets iboende trang til å velge minste motstands vei. Når man jobber med mennesker er nøkkelen å gjøre det enkelt for dem å utføre jobben sin – uten å tvinge dem gjennom en jungel av stadig flere hindringer og regler som enkelte sikkerhetsregimer har utviklet seg til å bli.
Tross alt er svært få av kollegaene dine ansatt for å drive med sikkerhet. De er ansatt for å utføre andre oppgaver, som for eksempel salg, regnskap, produksjon, kundestøtte og finans. Det er din jobb å gjøre det enkelt for de ansatte å utføre jobben sin, samtidig som du holder virksomheten så sikker som nødvendig.
Når ansatte er oppfinnsomme i sin streben etter å utføre jobben sin med minst mulig motstand, begynner mange sikkerhetsansatte å rope «skygge-IT» eller «disse ansatte trenger mer eller bedre opplæring». Det er en normal menneskelig reaksjon. Vi har alle en tendens til å føle oss utfordret når andre ikke følger våre instruksjoner, spesielt når vi tror de tar feil, eller verre; når vi tror de ikke forstår hvorfor det er riktig å gjøre som vi sier.
Det havner i en ond sirkel
Den instinktive reaksjonen fra vår bransje på denne utfordringen har vært å stramme grepet om de ansatte ved å innføre mer opplæring og styrke systemene: Målet er å forbedre sikkerheten, og middelet er nye lag av teknologi og retningslinjer mellom de ansatte og deres arbeidsoppgaver.
Noen ganger gjør disse lagene det vanskeligere for de ansatte å utføre jobben sin. Når det skjer, er folk tilbøyelige til å finne måter å omgå de nye sikkerhetskontrollene på. Resultatet er at ditt eget arbeid blir enda vanskeligere. Det er en ond sirkel.
Hva om vi gjorde det motsatte? Å gjøre det enklere for de ansatte å utføre jobben sin, samtidig som vi får en mer sikker organisasjon? Og hva om vi ved å gjøre det, kan demonstrere en positiv økonomisk effekt for virksomheten?
På flyttefot: Fagforening skeptisk til Norsk helsenetts kontorløsning
Du må forstå de ansattes roller
En av de viktigste forutsetningene for at du som sikkerhetsansatt skal kunne endre tankesett og komme ut av den onde sirkelen, er at du innser at jobben din er å sikre at det er forretning å drive i morgen. Jobben vår er å legge forholdene til rette for sunn drift, samtidig som vi sikrer driften.
Den beste måten vi kan oppnå dette målet på, er å forstå hva virksomheten gjør: Hvordan hver gruppe ansatte jobber mot målet om sunn drift, og hva deres individuelle innvirkning er på virksomheten. Når du kjenner arbeidsprosessene og hvordan ditt nåværende sikkerhetsregime påvirker effektiviteten til de ansatte, vil du være bedre rustet til også å forstå hvordan du kan tilpasse sikkerhetsregimet for å gjøre det enklere for de ansatte å utføre jobben sin.
Start med deg selv. Hva kan du endre med tanke på din rolle, oppgaver og ansvar? Prøv å se på ditt sikkerhetsregime fra de ansattes perspektiv, og spør deg selv hva du ville ønsket å endre. Ved å spille på lag med de ansatte og deres behov for minst mulig friksjon i å utføre sine oppgaver, kan du komme deg ut av den onde sirkelen hvor du ubevisst saboterer ditt eget arbeid.
Utviklere må ikke være så dømmende