Du bør vite hvem du ansetter, men det er like viktig å følge opp dine ansatte!

Under Næringslivets sikkerhetsråds (NSR) årlige konferanse presenterte NSR sin Kriminalitets- og sikkerhetsundersøkelse for 2013 (Krisino) Ifølge undersøkelsen sjekker kun 34 prosent av de private bedriftene identiteten til nyansatte, mens offentlige virksomheter hadde en noe høyere andel, med 51 prosent. Undersøkelsen fikk fortjent medieoppmerksomhet og NSR direktør Kristine Beitland gav dette intervjuet til Dagens Næringsliv.

I artikkelen uttaler Beitland:

- De ansatte er virksomhetens største ressurs, men ofte det svakeste leddet i sikkerhetsarbeidet, sier Beitland og legger til at bakgrunnssjekken burde være en del av rekrutteringsprosessen.

Dette er veldig viktig, men bakgrunnssjekk utgjør bare 50% av det som er viktig når det kommer til det å redusere risiko knyttet til egne ansatte. Men før jeg begrunner den påstanden så forflytter vi oss et øyeblikk over Atlanterhavet.

For noen uker siden ble USA rammet av nok en alvorlig skyteepisode. Denne gangen ble amerikanske myndigheter direkte rammet ved at militære og sivile ansatte ved Navy Yard ble utsatt for voldshandlinger fra en av sine egne ansatte. Skyteepisoden fikk et dødelig utfall med 13 døde inkludert gjerningsmannen – Aaron Alexis. I tillegg ble en rekke mennesker skadet.

Under episoden befant jeg meg i USA, dog geografisk langt unna åstedet, men jeg fikk en anledning til å studere den massive mediedekningen og ikke minst noen av de viklingene som media gjorde. Allerede samme dag som skytingen fant sted og etter at gjerningsmannen ble identifisert, kom spørsmålet opp om hvordan en sikkerhetsklarert ansatte kunne gjøre noe slikt. Aaron Alexis var sikkerhetsklarert for SECRET (HEMMELIG i Norge). Navy Yard saken har ført til flere interne granskninger i det amerikanske forsvaret om hvordan Alexis kunne få og fortsatt inneha en sikkerhetsklarering til tross for en rekke hendelser knyttet til hans person både før han fikk klarering og etter at han var sikkerhetsklarert.

Et av de spørsmål som opptar meg når jeg leser NSR undersøkelsen om manglende bakgrunnssjekk og Navy Yard saken – uten sammenligning for øvrig – er faren ved å stole for mye på en persons fortid som en slags garanti for at personen vil skikke seg vel i fremtiden.

På samme måte som vi skal være forsiktige med å dømme mennesker for det de har gjort galt i sin fortid, bør vi også være forsiktig med å automatisk konkludere med at mennesker som ikke har gjort noe galt ikke kommer til å gjøre noe negativt i fremtiden.

Det er mulig jeg er blitt noe kynisk i løpet av årene og det er muligens en naturlig yrkesskade, men jeg husker en tidligere sjef fra min tid i politi- og lensmannsetaten som uttalte at det alltid var en mulighet for at en person uten «rulleblad» bare var en person som enda ikke var tatt for alt det gale personen hadde gjort. Min erfaring er at han hadde både rett og galt på samme tid.De ulike tiltakene avhengig av behov/sektor og lovhjemmel.

De ulike tiltakene avhengig av behov/sektor og lovhjemmel.

I artikkelen til Dagens Næringsliv fokuserer NSR på at man skal unngå å slippe inn kriminelle i sine virksomheter, men det er godt forebyggende sikkerhetsarbeid å vite hvem du slipper inn i bedriften uansett hva slags merkelapp man bruker på de som søker ansettelse. Til dette formål har vi flere tiltak som kan benyttes. Det finnes bedrifter som tilbyr bakgrunnssjekk, dersom bedriftene selv ikke har kompetanse på området. Det finnes stillinger som krever politiattest og til slutt har vi sikkerhetsklarering som gjelder for de som skal behandle sikkerhetsgradert informasjon av betydning for rikets sikkerhet. Sikkerhetsklarering er det mest grundige kontrollen og vurderingen av en persons bakgrunn som benyttes i Norge, mens en politiattest er en kontroll på at du ikke er har fått straffereaksjoner innen et gitt tidsrom. Mens alle de tre tiltakende kan sies å være et forebyggende tiltak,  tar de i stor grad utgangspunkt i hva som har skjedd i fortiden og det er her jeg kommer til mitt hovedpoeng.

Det er ikke nok å foreta en bakgrunnssjekk og så tro at alt er greit. Vi snakker tross alt om mennesker her. Mennesker i all sin prakt og sårbarhet til samme tid. Skal vi redusere risikoen knyttet til mennesker så må det mer til enn å fokusere på fortiden. Det er nåtiden og fremtiden som er viktig.  Hva du gjorde for 16 år siden, når du ikke arbeidet på min arbeidsplass, er ikke like viktig som det du gjør som du arbeider der.

Tenk deg overskriften i media: Høyt sikkerhetsklarert person tatt for bedrageri! Hva så! tenker jeg. Media skal selvsagt kunne skrive slik de vil, men de kunne like gjerne ha skrevet Person med førerkort tatt for bedrageri! Betydningen er akkurat den samme. Det bør i hvert fall ikke være en sensasjon at mennesker som er sikkerhetsklarert gjør dumme ting. Med 20 års erfaring i å etterforske personer som innehar sikkerhetsklareringer, mener jeg å ha belegg for å si at de stort sett er vanlige mennesker som er kapable å gjøre alt fra idioti eller alvorlige straffbare handlinger på akkurat samme måte som alle andre.

Selvsagt vil identitetskontroll, bakgrunnssjekk, politiattest og sikkerhetsklarering hindre en god del mennesker å komme i posisjoner hvor de kan gjøre stor skade. Slik er dette et risikoreduserende tiltak. Men vi står allikevel tilbake med en betydelig restrisiko – De menneskene som er blitt ansatt etter at de har gjennomgått alle kontroller.

I et forebyggende perspektiv er det viktigste hva de kommer til å gjøre i fremtiden. Det er jo det som er ønskelig å forbygge. Her må det foretas bedre risikovurderinger og ikke minst oppfølging av disse menneskene over tid. Sikkerhetsloven tar blant annet høyde for dette gjennom å ha en slags to-trinns modell som består i sikkerhetsklarering og autorisasjon. Sikkerhetsklareringen skjer sentralt – Autorisasjonen skjer lokalt. Sikkerhetsklarering i seg selv gir ingen tilgang til «hemmelighetene» Personen skal være autorisert og gjennom det, inneha sjefens tillit. (Det er flere ting knyttet til sikkerhetsklarering som jeg ikke beskriver i dette innlegget)

Jeg har i mange år hevdet at ordningen egentlig består av tre-trinn. Den siste delen er daglig sikkerhetsmessig ledelse – som skal utøves av den ansattes leder. Her ligger det daglige ansvaret for å korrigere atferd og eventuelt reagere med tiltak, dersom den enkelte ikke skikker seg og utgjør en sikkerhetsrisiko.

Selv om dette fungerer mange steder, viser det seg også å være vanskelig i praksis. Det er flere årsaker til dette. Den første er manglende aksept og forståelse hos ledere for at de faktisk har et ansvar for å drive daglig sikkerhetsmessige ledelse ved å observere og vurdere en persons skikkethet når det gjelder sikkerhet. Selv om fleste ledere vurderer hvem som er best egnet til å håndtere ulike arbeidsoppgaver og tildeler oppgavene deretter, er det ikke alle som også utøver dette i forhold til sikkerhet. Det er det vi kaller Øystein Sunde Syndromet – som nylig ble beskrevet i et blogginnlegg. «Folk til slikt» -tangegangen om at det kun er de med sikkerhet i sin stillingsbetegnelse som arbeider med sikkerhet.

En annen utfordring er vår menneskelige evne til å ta opp ubehagelige ting med våre medmennesker. Det er mange som er konfliktsky og i et sikkerhetsmessig perspektiv mister man mye av evnen til å forebygge. “Alle visste om problemet – men ingen gjorde noe før det var for sent”.  Som etterforsker i slike miljøer har jeg ikke ikke tall på hvor mange ganger det har vist seg at ledere og ansatte har vært klar over problemene med eller hos en ansatt, uten at de har gjort noe – før det er for sent. Konsekvensene ved å ikke forebygge, synliggjøre eller gripe inn tidligere, gjør som regel at konsekvensene mangedobles for virksomheten, personen, arbeidsmiljøet og kollegaene. Det bør således være mange gode grunner til å utøve daglig sikkerhetsmessig ledelse eller hvorfor ikke bare kalle det med ordets rette betydning – LEDELSE!

En siste ting som heller ikke bør undervurderes er betydningen av å overføre kunnskap om hva som ansees å være god sikkerhetsatferd, forretningsmoral og etikk i virksomheten man er i. Vi skal ikke forvente at alle tenker likt knyttet til disse tingene og det kommer de heller ikke til å gjøre. Men vi kan redusere risikoen for at den reelle atferden spriker i alle retninger.

Næringslivet sikkerhetsråd trekker frem et viktig forebyggende tiltak gjennom sinn undersøkelser og gjør et viktig arbeid rettet mot næringslivet. Det koster mye å ansette feil person og det gjelder mer enn bare sikkerhet. Så du bør vite hvem du ansetter, men det er like viktig å følge opp dine ansatte når de er blitt nettopp det!

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Identitetstyveri, Informasjonssikkerhet, Ledelse, Sikkerhetsklarering, Sikkerhetskultur. Bookmark the permalink.

2 Responses to Du bør vite hvem du ansetter, men det er like viktig å følge opp dine ansatte!

  1. Nina Reiten says:

    Hei igjen. Dersom jeg får legge en kommentar til dette også, så er jeg takknmelig for det.
    Det er kanskje ikke en dag for tidlig at denne måten å tenke sikkerhet på aktualiseres.
    Et menneske forandrer seg hele livet, har gode og mindre dager/perioder på jobb som ellers i livet. Tenk deg en ansatt med stort ansvar, skal jobbe under press, håndtere farlige maskiner osv. Dersom det ikke er kultur i firmaet for åpenhet og tillit for det å kunne si ifra om helsen f.x. så er vel det en sikkerhetsrisiko? Det kan også hende at en person opplever dramatiske ting i privatlivet, ulykker osv.
    Omsorgspersonell, militære, politi, f.x. hvor det kreves særdeles god mental og fysisk helse.
    Derfor kan et usunt arbeidsmiljø være en risiko, fordi vi ser ikke de/den som bærer på noe. Jeg tror også at holdningene til samfunnets verdier og miljøene man vanker i, preger den enkeltes handlinger og årvåkenhet mot det som kan true sikkerheten for firmaet og menneskene i det. En bankansatt som spiller for 4-5000 i lotto i mnd er neppe ønskelig.
    En tydelig og klar visjon fra ledelsens side, er viktig for forståelsen av arb.plassens virke.
    En trenger kanskje ikke å vrenge sjelen for arb.giveren, men det er det totale inntrykket av holdninger og interesse for arbeidet til den ansatte arb.giver og medarb. legger merke til.

  2. Pingback: Sårbarhet og sikkerhet « IT som ledelsesverktøy

Comments are closed.