När vi utvecklar våra digitala kurser är feedback från våra tilltänkta målgrupper a och o för säkerställa att kunskapsnivån är rätt, att våra utbildares pedagogik når fram hela vägen och att vi lyckas förmedla all den kunskap som vi vill att kursdeltagaren ska få med sig.

En kursdeltagare som fått möjlighet att testa både vår senaste kurs ”Introduktionskurs till OSINT med fokus på Google för offentlig sektor” och vår kurs ”Intervjuledare säkerhetsprövning” är Tommy som arbetar med säkerhetsfrågor inom en myndighet med inriktning mot säkerhet.

Vi fick några ord med Tommy om hans upplevelser av båda kurserna.

Säkerhetsutbildning - intervjuledare

Hej Tommy!

Du arbetar till vardags med säkerhetsfrågor på en stor myndighet där säkerhet står mycket högt på agendan. För inte så länge sedan gick du våra kurser Introduktionskurs till OSINT med fokus på Google för offentlig sektor och Intervjuledare säkerhetsprövning. Tack för att vi får ställa några frågor till dig!

Vad hade du för förkunskaper inom dessa områden innan du gick kurserna?

”Innan jag gick OSINT-kursen har jag försökt att lära mig OSINT på egen hand. Problemet med detta är att man lätt missar den grundläggande strukturen, vilket jag tycker man får i denna kurs.”

Grundkursen till OSINT fokuserar på Google som sökverktyg. Därför har vi valt att centrera mycket av kunskapen kring grundläggande söktekniker, såsom booleska sökoperatörer, och kombinera dessa tekniker med grundläggande kunskap inom underrättelsemetodik och OSINT-arbete i digitala öppna källor.

”Kursen Intervjuledare säkerhetsprövning gav mig en helt ny syn på säkerhetsprövning. Jag har under många år varit behjälplig samt hållit i intervjuer inom mitt verksamhetsområde, dock ej säkerhetsprövningsintervjuer. Denna kurs gav mig rätt grundläggande verktyg för att kunna vidareutvecklas inom området.”

Kursen Intervjuledare säkerhetsprövning riktar sig till alla som i sin yrkesroll fått ansvar för att genomföra säkerhetsprövningsintervjuer. Kursen är specifikt utformad för att snabbt ”klä på” deltagaren med grundläggande kunskaper och verktyg för att ge deltagaren bra förutsättningar för att genomföra sina första egna säkerhetsprövningsintervjuer efter avklarad kurs, något som Tommy upplever att han uppnått efter avklarad kurs:

”Jag är som sagt relativt ny när det gäller genomförande av just säkerhetsprövningsintervjuer, men känner att jag fick goda kunskaper samtidigt som jag kan se att redan erfarna kan ha nytta av denna kurs. Efter en sådan här kurs är man absolut inte klar som samtalsledare men man har fått bra förutsättning att arbeta vidare på. I kursen nämndes det många gånger att man ska vara ödmjuk och ha respekt för individen som intervjuas. Jag tycker att det är väldigt bra att man lyfter upp det.”

Hur har din syn på rollen som intervjuledare/samtalsledare förändrats?

”Jag har själv suttit i säkerhetsprövningsintervjuer (som sökande) och har fått en helt ny förståelse för hantverket. Det är ett hantverk som kräver övning.”

OSINT, Open Source Intelligence, är en underrättelsedisciplin som har fått mycket luft under vingarna under de senaste åren. Är detta något som du tror kommer att bli viktigare även inom den myndighet som du arbetar på?

Allt går att hitta på internet, bara man vet hur och vart man ska leta. OSINT kan vara ett väldigt bra komplement till annan underrättelseinformation, då underrättelseinformation oftast är information som inte går att använda i tex beslutsunderlag eller vice versa.”

”OSINT upplever jag, inom min myndighet, vara en oslipad diamant. Detta är en disciplin som blir viktigare och viktigare för många verksamheter. Jag kommer att rekommendera denna kurs till min myndighet.”

När vi frågar Tommy vilka de främsta nya kunskaperna och insikterna från respektive kurs menar han att OSINT-kursen har gett honom nya verktyg för att kunna arbeta mer strukturerat och metodiskt med informationsinhämtning för att snabbare nå fram till ett träffsäkert resultat. Intervjuledar-kursen gav i stället Tommy blodad tand och inspiration till fortsatt lärande:

”Kursen intervjuledare gav mig helt enkelt mersmak och en vilja att fördjupa mig mer i ämnet.”

Vilka kunskaper från de båda kurserna tror du själv att du kan applicera direkt i ditt dagliga arbete?

”Det finns information i intervjuledar-kursen som kan användas i många andra sammanhang än säkerhetsprövningsintervjuer, till exempel vid så kallade svåra samtal.”

”OSINT-kursen är en bra grundläggande kurs och jag tror att många kommer att få aha-upplevelser och finna nytta av den, speciellt avsnittet som hanterar de booleska operatörerna.”

Båda kurserna är utformade på ett sätt som syftar till att ge deltagaren maximal kunskap och förståelse inom en relativt komprimerad tidsrymd, exempelvis 1–2 timmar. Tycker du att vi lyckades med detta?

”Jag tycker båda kurserna uppfyller sitt mål/syfte och är pedagogiskt upplagda. Det finns en tydlig röd tråd i båda kurserna med bra kombination av information i video, ljud och text. Följer man instruktionerna i kursen klarar man slutproven.”

”Fördelen med en sådan här kurs är att man kan pausa och fortsätta vid ett senare tillfälle eller titta igen om det var något man missade. OSINT-kursen uppskattades ta 1–2 timmar att slutföra. Det tycker jag är en lämplig uppskattning.”

”När det gäller intervjuledar-kursen så kan man nog klara av den på 1–2 timmar också, men jag ville få ut så mycket som möjligt av den, så det tog lite länge tid för mig.”

Fanns det delar i kurserna som du gärna sett mer av?

”Ett OSINT-arbete kan bli hur stor som helst. Jag hade gärna tagit del av tips och verktyg för hur man kan hålla ordning på all information och alla källor som man arbetar med, exempelvis förslag på webbsidor eller program som finns tillgängligt. I övrigt uppfyllde kurserna mina förväntningar och jag kan varmt rekommendera båda!”

Tack Tommy och lycka till med både OSINT-arbetet och framtida säkerhetsprövningsintervjuer!

I den stunden som Sverige valde att gå med i NATO klev både offentliga verksamheter, näringslivet och vi som arbetar med säkerhet, säkerhetsskydd och personalsäkerhet in i en ny kontext. Ett inträde i NATO kommer att innebära många stora och små förändringar för vårt svenska samhälle och en av dem är det som i folkmun kallas för ”NATO-standard”, men som egentligen går under förkortningen STANAG.

STANAG, NATO och Personalsäkerhet - SRI

Vad är STANAG?

STANAG (som står för Standardization Agreement) är ett regelverk som skapar förutsättningar för allierade och medlemsländer att i så hög utsträckning som möjligt ha likformade, integrerbara eller identiska koncept, system och liknande. Detta för att i en skarp situation ha så goda förutsättningar som möjligt att verka och samverka utan olika typer av hinder i vägen. STANAG är stommen som skapar dessa förutsättningar, lika för alla, till fördel för alla.

När det gäller hårdvara kan STANAG exempelvis handla om att NATO:s medlemsländer har kommit överens om att olika typer av vapensystem ska kunna användas sömlöst mellan olika flygplanstyper, men standarden täcker även in data och information.

Inom NATO finns det nämligen även en egen struktur för informationsklassning, precis som i Säkerhetsskyddslagen men där det inte längre är Sveriges säkerhet i fokus utan NATO:s.

Personalsäkerhet med NATO-standard

Inom NATO finns även området som kallas ”personalsäkerhet”. Även här gäller samma koncept och grund. Det innebär att säkerhetsprövning enligt STANAG följer en NATO-gemensam-process och att denna ska se likadan ut och bygga på samma beslutsunderlag, oavsett i vilket land en individ ska prövas mot denna kontext.

Precis som inom Säkerhetsskyddslagen kan nivån och informationsklassningen man ska få tillgång till i sin befattning, styra exakt hur processen ser ut och vad den innehåller för olika moment. Logiken är dock densamma, den bygger på en grundutredning och en säkerhetsprövningsintervju.

Att kunna hantera, känna till och efterleva STANAG inom de områden som är relevanta för en verksamhet i det svenska privata näringslivet kan vara en stor konkurrensfördel men också en del som annars kan vara direkt diskvalificerande i en framtida situation kring avtal eller samarbete. Det finns därför flera tydliga anledningar till att sätta sig in i, inhämta kunskap och analysera det som rör sin egna verksamhets relation till STANAG.

Det är ännu inte helt tydligt vad man som säkerhetsskyddsfunktion eller som verksamhet behöver tänka på eller vilka anpassningar som kommer att föreslås eller krävas. Men, om man verkar inom exempelvis försvarssektorn gör man klokt i att börja omvärldsbevaka, sondera och analysera om man kommer att behöva ta hänsyn till STANAG i sitt personalsäkerhetsarbete.

Den senaste tidens utveckling i Europa har onekligen väckt många tankar kring de hot och risker som vårt samhälle står inför. Den oroväckande takt som hotbilden har utvecklats kan även sätta press på verksamheter att implementera säkerhetsåtgärder och rutiner här och nu (kanske helst igår).

I den här artikeln pratar vi med SRI:s säkerhetsexpert Erica Eriksson om hur en löpande öppen dialog och ett långsiktigt och strategiskt arbete kring säkerhetskultur är väsentligt för att stärka organisationer.

Säkerhetskultur i verksamheten

Delad värdegrund en framgångsfaktor – och värdegrund kopplat till säkerhet är inget undantag

Ny forskning från Försvarshögskolan, Universitetet i Bergen och andra lärosäten har visat att anställda som delar sin organisations värdegrund är en framgångsfaktor. Medarbetaren blir både bättre på sina tilldelade uppgifter och på att fånga upp problem på arbetsplatsen. Med andra ord ökar produktiviteten och anställda kan lättare identifiera potentiella brister i säkerheten.

Men, när organisation och medarbetare inte delar värdegrund bäddar det för problem som inte bara påverkar säkerheten i den egna verksamheten, utan ibland även säkerheten för samhällsviktig verksamhet i Sverige. Närtida exempel på detta är bland annat: 

  • En läkare vid Danderyds sjukhus ertappades med att ge ovetenskapliga råd till patienter. Under gruppövningar ska patienter bland annat ha uppmanats “detoxa med hjärtat och att suga näring ur jorden”. Kliniken tar avstånd från den numera före detta anställdas handlingar och förespråkar beprövad behandling med tydlig vetenskaplig förankring.
  • En banktjänsteman utnyttjade sin position vid en av Sveriges största banker för att tillsammans med en mäklare tvätta hundratals miljoner kronor åt det så kallade ”Södertälje-nätverket”. Polisen misstänker att banktjänstemannen tagit emot en summa pengar från det kriminella nätverket som ersättning för att bevilja lån som banken annars hade avslagit.
  • Personer med kriminella kopplingar misstänks ha fått anställning inom Kriminalvården. Myndigheten misstänker att personerna i fråga sökt sig till kriminalvården med syfte att infiltrera organisationen och att deras lojalitet från början legat hos de kriminella kontakterna.

Vad innebär säkerhetskultur och hur bygger man en bra kultur?

Erica Eriksson - Affärsområdeschef SäkerhetsskyddErica Eriksson, Affärsområdeschef för Säkerhetsskydd på SRI, menar att det är direkt avgörande för en välfungerande säkerhetskultur att medarbetarna vågar räcka upp handen om något gått fel.

”Det är viktigt att få medarbetare att förstå att de, genom att vara vaksamma och genom att de vågar räcka upp handen och rapportera, hjälper till att täppa till säkerhetsbristerna. Att uppmärksamma hot är en viktig förutsättning för att stärka verksamheten.”

“Säkerhetskultur handlar om att förstå vad som är viktigt, om att sätta laget före jaget. Att ha ett metaperspektiv på sitt agerande och höja blicken, till exempel att se Sveriges perspektiv och därtill verksamhetens del i Sveriges säkerhet,” säger Erica och fortsätter:

“En och samma individ kan vara olika benägen att rapportera fel på olika arbetsplatser eftersom det ”kostar” olika mycket för den enskilde. Individen är viktig, men miljön är väsentlig. Det är där säkerhetskultur och värdegrund uppstår.”

Hur bör man arbeta för att främja och utveckla en stark säkerhetskultur i verksamheten?

Ericas erfarenhet är att kommunikation mellan ledning och medarbetare är en grundpelare. Erica berättar även att utbildning är en nyckelfaktor i säkerhetsarbetet eftersom medarbetaren måste förstå vad den ska göra, när den ska göra det och inte minst, varför den ska göra det.

“Det är en vanlig missuppfattning att säkerhetsskyddschefen är den enda som måste ha kunskap om säkerhet, men det är inte bara chefen som bedriver säkerhetsarbetet, utan allas arbete är en del av säkerhetskulturen.”

“Oavsett vad för verksamhet man bedriver måste man tänka på vad som är skyddsvärt för den egna verksamheten. Allt kan handla om företagets överlevnad, därför borde man kartlägga vad som är företagets kärnvärden. Det kan handla om att öka försäljning eller att vara restriktiv med att prata med utomstående. Då visar man skyddsvärda områden för organisationens inre liv och man bör öka förståelsen för hur viktigt det är att skydda sin egen information. I grunden handlar det om att bygga förståelse för varför man bör skydda saker.”

“De verksamheter som har en bra säkerhetskultur är transparenta med sina medarbetare, informerar om åtgärder och är noga med att få medarbetarna att känna sig inkluderande. Värdegrund är stort, vitt begrepp, men man kan säga att “öppenhet” är en värdegrund i organisationen.”

Hur relaterar arbetet med säkerhetsprövningsintervjuer till värdegrund och kultur?

Erica berättar att för de verksamheter som omfattas av säkerhetsskyddslagen är säkerhetsprövningsintervjuer en viktig del i säkerhetskulturen eftersom medarbetarens potentiella sårbarheter kartläggs.

”Sårbarheter är kontextuella och det är först när man undersökt kombinationen av en person och en viss verksamhet som risker blir tydliga.”

“Vid intervjuer är det viktigt med en mänsklig dialog där individen respekteras. Det är ett samtal, inte ett förhör. Medarbetaren ska förstå innebörden av sin roll samt riskerna som tjänsten innebär och hur dessa kan minskas. Målet är att personen ska motiveras att själv vara delaktig i intervjun och säkerhetsarbetet. På så sätt byggs en säkerhetskultur hos individen.”

Vad är utmärkande för en bristande säkerhetskultur?

Erica menar att det finns flera saker som utmärker en bristande säkerhetskultur.

“Det är svårt att få bra säkerhetskultur i verksamheter som har en “blame-kultur”, där medarbetare skyller på och bryter ner varandra, då vågar man inte ta ansvar. Därför är det oerhört viktigt att lyfta och hjälpa varandra.”

“Om vi litar på varandra så märker vi när något händer i den andres liv. Om vi har förtroende så vågar vi även ställa frågor som ”Vad händer i ditt liv? Hur mår du egentligen?” De samtalen behöver vi på arbetsplatsen, speciellt nu, och även tidigare under pandemin. Men det måste komma från ett genuint intresse. Det kan inte vara så stolpigt och formellt. Det bygger ingen säkerhetskultur.”

Så kan du stärka säkerhetskulturen i din verksamhet

    • Påminn verksamheten om vad som händer säkerhetsmässigt. Håll intresset uppe i form av cykliska påminnelser. Lägg exempelvis in en punkt på månadsmötet som heter “säkerhet”. Det gör att säkerhetsfrågor hela tiden är “top of mind”.
    • Reflektera över verksamhetens kärnvärden. Vad vilar organisationens existens på? Låt det vägleda resten av säkerhetsarbetet.
    • Upplys medarbetarna, bygg förståelse kring varför. Medarbetare har större förutsättningar att lyckas med sitt eget arbete när de förstår hur rutiner, utbildning, kommande ändringar härleds till säkerhetsarbetet.
    • Fostra ett öppet diskussionsklimat och våga fråga. Motverka “blame”- och tystnadskultur eftersom ingen tjänar på att brister går orapporterade.

För ungefär ett år sedan såg vi ett behov av en medvetande- och kunskapshöjande föreläsningsserie med anledning av att säkerhetsläget i Sverige, Europa och världen försämrats under senare år. Vi påbörjade då planering och produktion av vår serie ”Från gråzon till safe zone”.  

För ungefär en månad sedan valde vi att öppna upp vår föreläsning om gråzonsproblematik med Kommendörkapten Björn Marcusson, lärare på Försvarshögskolan, helt kostnadsfritt för alla. Syftet med initiativet var, och är fortsatt, att bidra med kunskap kring Rysslands agerande i den redan då allvarliga situationen i Ukraina. Se föreläsningen i sin helhet här. 

För ungefär en vecka sedan inledde Ryssland en fullskalig invasion av Ukraina. Läget är nu mycket allvarligt och har därmed även förflyttats från den så kallade gråzonen och till fullskaligt krig. Invasionen innebär även ett kraftigt försämrat säkerhetsläge i Sverige, något som även påverkar svenska verksamheter.   

Vi vill bidra med kunskap än en gång i syfte att skapa medvetenhet kring begreppen ”hybrida hot” och ”hybridkrigföring” – en taktik som Ryssland har bemästrat under många år. Vi öppnar därför även upp vår föreläsning ”Hybrida hot: Hur tar de sig uttryck, hur drabbar de organisationer och hur kan man skydda sig?”, även denna med Björn Marcusson från Försvarshögskolan, helt kostnadsfritt och utan motprestation.  

Initiativet riktar sig till alla organisationer i Sverige, stora som små, och föreläsningen (som du hittar här nedanför) är öppen för alla och vi hoppas kunna bidra till ökad medvetenhet och kunskap kring ämnet och kring vad som händer i vår omvärld.

Ryssland har en bred verktygslåda till sitt förfogande 

ÖB konstaterar i en intervju med SVT att Ryssland har en bred verktygslåda som bland annat inkluderar misskreditering av befattningshavare, sabotage, påverkansoperationer och cyberattacker. 

Vi måste prata om saker för vad de är och inse att världen har förändrats på mindre än en vecka. De har en mängd saker de kan ta till och som man tar till nu. Nu gäller det att vara på sin vakt, säger ÖB Micael Bydén. 

”Vi hoppades i det längsta på att situationen i Ukraina skulle stanna vid en provokation från Rysslands sida och att det skulle handla om klassisk militärstrategi i gråzonen. Tyvärr så gjorde det inte det och läget har eskalerat snabbt till invasion, brott mot folkrätten och hybridkrigföring där både reguljära militära förband, specialförband, milis, cyberattacker, informationsoperationer och propaganda används som vapen.

Vår förhoppning är att vi med detta initiativ kan hjälpa många svenska verksamheter att härda sin egen sköld i en mycket osäker och volatil tid där insiderverksamhet och cyberattacker tyvärr är alltmer sannolika och en del av verktygslådan som används vid hybridkrigföring,” säger SRI:s Pierre Gudmundson. 

Finns det några hållhakar? 

Nej. Ingen registrering krävs för att ta del av innehållet och vi ber inte om någon motprestation. Allt du behöver göra är att trycka på play. Du som vill får även fritt dela länken till den här sidan till kollegor och bekanta som kan vara intresserade eller kanske till och med lägga in en länk på din organisations intranät.

Vi hoppas att även denna föreläsning kan bidra till många nya insikter och tankar.

Ytterligare kunskapsresurser om säkerhetsläget och hybrida hot: 

Det har säkert inte undgått någon att Ryssland nu har inlett en fullskalig invasion av Ukraina. Vi har alla läst och följt utvecklingen sedan december 2021 och många har kanske även följt utvecklingen i Ukraina sedan annekteringen av Krim 2014.

Historien och det som händer nu går dock längre tillbaka än så men det är inte det vi ska fokusera på i den här guiden. Vi ska fokusera på vad det innebär för verksamheter i Sverige, för er verksamhet och inte minst – hur verksamheten kan skyddas.

I den här snabbguiden och våra checklistor för chefer och medarbetare nedan delar vi med oss av insatser som kan hjälpa er att snabbt öka säkerheten i er verksamhet.

Ukraina - Ökad säkerhet i verksamheten

Där situationen nu befinner sig, med invasionen som ett faktum och som i sin tur utlöser utlovade sanktioner från väst, så finns det saker för Sverige och svenska organisationer att beakta och ta på största allvar. Omvärldsbevakningen som vi redogör för nedan är en sammanslagning av många källor som vi följer och granskar.

  • I och med att en fullskalig invasion nu skett är det mycket sannolikt att USA, EU och därmed även Sverige svarar med långtgående och betydande sanktioner. Syftet med dessa sanktioner – som kommer slå mycket hårt mot den ryska ekonomin, ryska företag och även enskilda individer – är att reducera den militära linjen och begränsa konsekvenserna som den skulle innebära för Ukraina. Sanktionerna syftar ytterst till att förmå Ryssland att fokusera mer eller enbart på de diplomatiska samtalen igen.
  • I ett sådant scenario, är det hög risk att Ryssland väljer att svara på sanktionerna. Detta genomförs sannolikt genom asymmetriska attacker.
  • Ett 15-tal länders underrättelsetjänster och andra statliga myndigheter med ansvar för omvärldsbevakning varnar nu för att hotbilden är kritisk mot den samhällskritiska infrastrukturen i dessa länder. Syftet med dessa är att få reducerade sanktioner.
  • Skulle dessa asymmetriska attacker återigen mötas av ökade sanktioner eller andra typer av motåtgärder så är det möjligt att situationen eskalerar till andra betydligt mer allvarliga scenarier. Dessa är ännu inte redogjorda för i detalj så därför redovisar inte heller vi något på den linjen ytterligare.

I Sverige handlar det nu om att tempoväxla, prioritera och se över sitt hus

En del verksamheter har arbetat i många år på ett proaktivt sätt och kanske behöver vidta begränsade riskreducerande åtgärder. Andra kanske inser först nu att det finns saker som borde ha gjorts, men som ännu inte hunnits med. De goda nyheterna är att det finns en del ”lättplockad frukt” för att snabbt öka säkerheten och säkerhetsmedveten i verksamheten.

Det samlade rådet från flera olika säkerhets- och underrättelsetjänster samstämmigt: Om din verksamhet är en del av den samhällskritiska infrastrukturen är ni ett sannolikt mål från nu och framåt. Detta på ett sätt ni inte var igår. Denna rekommendation gäller även hela leverantörskedjan och hotet är mest sannolikt i form av cyberattacker och kommer då som digitala attacker mot IT-system.

Hotet varierar beroende på vad inom den samhällskritiska infrastrukturen man är en del av och det är sannolikt nu hög risk att det största hotet finns inom energi-sektorn. Detta på grund av att det nu blivit känt att Tyskland avbryter den fortsatta utbyggnaden av
Nord Stream 2. Det är fortfarande vinter och kallt, elpriserna runtom i Europa är redan höga – därför skulle det ge maximal effekt och god utdelning för en angripare att rikta in sig mot just energi-sektorn.

I och med den rådande situationen och den utveckling som sker kan det även hända att personal som tidigare inte utgjort ett hot plötsligt börjar agera illojalt.

Checklista för chefer:

    • Repetera säkerhetsrutiner med din organisation och påminn om vilka rutiner som gäller kopplat till access till fysiska utrymmen, hantering av information och i synnerhet känslig information, vad som gäller vid arbete i system och med exempelvis mailkommunikation.
    • Fundera på om någon medarbetare senaste veckorna eller dagarna börjat avvika från sina tidigare sätt att vara och uppträda.
    • Var extra vaksam på avvikande beteenden, både personellt, digitalt och i exempelvis systemloggar. Säkerställ att systemloggar kan övervakas och att avvikelser kan upptäckas och hanteras på ett effektivt sätt så att leder till snabb åtgärd.
    • Var extra uppmärksamma kring avvikande funktionalitet och händelser i IT-system – och uppmana personalen att rapportera in dessa händelser.
    • Ha låga trösklar för att eskalera och vidta åtgärd, kalla till samtal etc.

Checklista för medarbetare:

Generellt:

    • Om du har hamnat i en situation eller har agerat på ett sätt som kan innebära en risk, prata med din säkerhetsansvariga eller din närmaste chef.
    • Om du misstänker att någon av dina kollegor har hamnat i en situation eller agerar på ett sätt som kan innebära en risk, prata med din säkerhetsansvariga eller din närmaste chef.
    • Om du är osäker på din verksamhets interna säkerhetsrutiner ser ut, ta reda på vad som gäller.
    • Säkerhetsrapportera hellre en gång för mycket än en gång för lite. Säkerhetsrapportering görs vanligtvis till säkerhetsavdelningen eller till närmaste chef.

Lokaler och fysisk säkerhet:

    • Var en gatekeeper! Släpp inte in obehöriga i byggnaden, särskilt inte i säkerhetskänsliga delar av byggnaden.
    • Om du är osäker på om en person är behörig att vara i aktuell lokal eller ej, fråga personen. Vid misstanke om att något inte står rätt till, konfrontera personer som beter sig misstänkt och säkerhetsrapportera.
    • Om du ser något avvikande eller reagerar på något som avviker tveka inte att rapportera det enligt era interna rutiner.
    • Om du tror att någon obehörig varit i lokalen meddela din chef eller säkerhetsansvarige.
    • Lämna aldrig dörrar eller portar uppställda utan uppsikt.
    • Håll koll på ditt passerkort och dina koder och låna inte ut dem. Anmäl om du tappat bort ditt passerkort.
    • Byt inpasseringskod omedelbart om du tror att någon annan hört eller sett den.

IT och informationssäkerhet:

    • Om du blir uppmanad av exempelvis IT-avdelningen att installera säkerhetsuppdateringar på din telefon, dator eller annan enhet – gör det så snart som möjligt.
    • Använd inte privat utrustning och privata molntjänster för arbetsrelaterade uppgifter – om det inte är avtalat och godkänt av arbetsgivaren.
    • Var extra uppmärksamma kring avvikande funktionalitet och händelser i IT-system – och rapportera in misstänkta händelser.

Lästips om säkerhet i verksamheten från SRI:s blogg:

Mer läsning från svenska och internationella källor:

 

Alla kan bli en insider, medvetet eller omedvetet. Den första delen i vår serie om insiders handlade om så kallade ”omedvetna insiders”, personer i verksamheten som bidrar till ökad risk för intrång och annat utan egentligt motiv eller uppsåt i sitt handlande. I den här artikeln går vi vidare och kastar ljus på ”medvetna insiders” som tvärtom har både motiv, medvetenhet och uppsåt – antingen för egen vinning eller för att hjälpa någon annan, exempelvis en definierad hotaktör. 

Som vi även nämnde i Del 1 så hänger hotet utifrån och hotet inifrån ofta ihop. För att en aktör på utsidan ska kunna möjliggöra sin handling behöver personen eller gruppen ofta hitta en svaghet och sårbarhet, alltså en säkerhetsbrist. Den svagheten kan vara människan i organisationen.   

Insiders - Den medvetna insidern

Motiven till att bli en insider varierar 

Motiven till att bli en insider är givetvis varierande. Exempel på motiv kan vara bekräftelse, hämnd, pengar, önskan om en bättre värld och etisk eller filosofisk övertygelse eller ren utpressning. 

Det skulle kunna handla om att en medarbetare stjäl från sin arbetsgivare, antingen för ekonomisk vinning eller för att hämnas på arbetsgivaren som man anser har sårat en på något sätt, exempelvis genom brist på uppskattning eller utebliven löneförhöjning. Det kan även handla om sabotage av utrustning eller att man medvetet läcker känslig information eller hotar och trakasserar andra anställda.  

Insidern kan alltså vara driven av politiska motiv eller motiverad och stimulerad genom antingen betalning, hot eller andra påtryckningsmedel från en hotaktör såsom organiserad brottslighet eller en statsaktör.  

Målsökning för att identifiera insiders 

Det är viktigt att känna till att det finns ett skarpt yttre hot och aktörer som aktivt letar efter ingångar till din verksamhet. Genom målsökning, eller genom vänner och kontakter, kan en antagonist hitta personer som kan hjälpa till från insidan.

Detta kan uppnås genom att först ta reda på vad som motiverar en person och vad som är viktigt i den personens liv. Ju fler kontaktytor till personen som finns eller kan skapas, ju fler gemensamma nämnare som finns med personen eller kan skapas samt ju fler sårbarheter det går att hitta eller skapa hos personen desto större är chansen att lyckas få personen att hjälpa till.   

Skillnad på Insider och Agent 

Ibland dras det lite slarvigt likhetstecken mellan insiders och så kallade agenter, därför är det viktigt att känna till vad som är vad:  

En insider är en person som exempelvis avser att använda ett företags information gällande exempelvis innovation eller ekonomiska förehavanden på ett olovligt sätt för egen eller annans vinning. 

En agent är i stället en person som har fått i uppdrag att samla information om Sverige och svenska förhållanden – säkerhetskänslig information – och delge informationen till en utländsk säkerhets- & underrättelsetjänst som verkar för främmande makt. 

Insiderprevention: Vad kan man göra för att motverka insiders? 

Oavsett om det handlar om en insider som verkar i eget intresse eller en agent som agerar på uppdrag av främmande makt är det viktigt att komma ihåg att en fungerande verksamhet bygger på en organisation bestående av lojala och pålitliga medarbetare.  

När verksamheten även bedriver säkerhetskänslig verksamhet är det ständigt pågående uppföljande säkerhetsprövningsarbetet samt kompetenta och orädda chefer som har en tät dialog med personalen av största vikt. De individer som aktivt valt att agera illojalt upptäcker man dock sannolikt inte enbart genom detta arbetssätt.  

Därför är personalsäkerheten också väldigt beroende av andra mekanismer och säkerhetslösningar såsom informationssäkerhet och fysisk säkerhet men utöver det även passiv och aktiv övervakning, exempelvis loggar och förmåga att upptäcka, sektionera, behörighetsstyra, begränsa samt larma och agera på avvikelser. 

Det är också viktigt att den interna säkerhetsfunktionen är prestigelös. Tröskeln för denna till att samverka med Säkerhetspolisen eller annan myndighet måste vara låg vid misstanke. Ensam är inte stark. 

Förutom detta är en stark och väletablerad säkerhetskultur som underhålls kontinuerligt i verksamheten av största vikt. Personal måste ha en grundläggande utbildning i säkerhetsskydd och en medvetenhet om de hot och risker som finns. Men det räcker inte långt i kulturbyggandet.  

En stark säkerhetskultur – med vakna medarbetare, som har integritet, är modiga och ifrågasätter och som alltid larmar när de ser eller misstänker något eller någon – stärker skölden och skapar bra förutsättningar för att minska risken för att en insider får tillfälle att ställa till med skada i organisationen. En sådan organisation har också bättre möjligheter att upptäcka avvikande beteenden, och därmed upptäcka en potentiell insider, på ett tidigare stadie. 

Du kanske även är intresserad av: Bristande personalsäkerhetsarbete kan bli en kostsam historia

I nästa del i den här serien fokuserar vi på typiska insider-karaktärer och vad de motiveras av samt delar med oss av ett case från verkligheten.  

 

Ordet ”insider” är för många laddat och förknippas med antingen insider-handel eller en kanske en insider som har ett ont och medvetet uppsåt – kanske till och med en spion från främmande makt som har nästlat sig in i organisationen.  

Alla insiders är inte lömska spioner, men även ett omedvetet handlande kan innebära allvarlig risk för en verksamhet. Inte minst om man bedriver säkerhetskänslig verksamhet. 

I den här artikelserien kommer vi även att belysa den ”klassiska” insidern, den som har en medvetenhet och ett uppsåt i sitt handlande, men vi börjar med den så kallade ”omedvetna insidern”.  

Insiders - Den omedvetne insidern

Omedvetna insiders = Brister i personalsäkerheten 

Hotet utifrån och hotet inifrån hänger ofta ihop. För att en aktör på utsidan ska kunna möjliggöra sin handling, oavsett om det handlar om rån, dataintrång eller terrordåd, behöver personen eller gruppen ofta hitta en svaghet eller säkerhetsbrist i den verksamhet som valts ut som ett mål. Den svagheten kan ofta vara människan i organisationen.  

Här brukar man prata i termer om ”omedvetna och medvetna insiders”. Dessa är två helt olika typer av insiders, men bådas agerande kan snabbt resultera i svagheter i säkerhetsskyddet och personalsäkerheten och därmed även resultera i allvarliga säkerhetsincidenter.  

En omedveten insider kan vara en person som helt enkelt är slarvig och lämnar en dörr öppen, tillåter en okänd eller obehörig att ”ta rygg” vid inpassering i en känslig zon, tappar sitt passerkort, delar med sig av en accesskod, slarvar med att följa uppsatta säkerhetsrutiner eller berättar om viktig information på bussen så att någon annan hör det. 

Ofta är den omedvetna insidern dessutom väl medveten om säkerhetsrutiner och liknande, men kanske inte tycker att de känns viktiga, upplever dem som krångliga och väljer att ta genvägar eller helt strunta i dem och har inställningen att säkerhetsrutinerna gäller andra men inte en själv – något som därmed leder till risk för verksamheten och sårbarheter i de säkerhetskoncept som byggts upp.  

En omedveten insider kan även vara en person som låter sig manipuleras till att hjälpa en hotaktör få tillträde till byggnader, information eller system genom att exempelvis falla för en riktad så kallad ”spear phishing”-attack och ladda ner malware på sin jobbdator som i sin tur är ansluten till företagets nätverk och affärskritiska system.  

Fler exempel på denna typ av ovarsamhet kan vara:  

  • Att personen låter en annan person, som kanske ser ut att höra hemma i byggnaden, följa med in trots att byggnaden kräver särskild access. 
  • Att personen struntar i att installera viktiga säkerhetsuppdateringar på sin dator trots anmodan från IT-avdelningen.  
  • Att personen tappar eller förlägger en portabel hårddisk med känslig information och sedan struntar i att säkerhetsrapportera incidenten. 
  • Att personen accepterar vänförfrågningar i sociala nätverk från okända kontakter och som kanske även är baserade i ett risk-land. 
  • Att personen av ren okunskap eller av misstag lägger ut en film eller ett foto på sina sociala medier där känslig information exponeras.  

Alla som arbetar inom verksamheter med identifierade skyddsvärden och/eller som verkar inom säkerhetskänslig verksamhet har ett ansvar att hjälpa varandra att bli bättre och hålla säkerheten uppe. 

I del 2 i den här serien tittar vi närmare på den medvetna insidern och i kommande delar belyser vi olika typer av hot som en insider kan innebära för en verksamhet. 

 

 

 

För ungefär en månad sedan öppnade vi upp vår föreläsning på ämnet gråzonsproblematik (läs mer om initiativet och se hela föreläsningen här) och erbjöd den helt kostnadsfritt och utan motprestation för att bidra till ökad medvetenhet och kunskap om de omvärldshändelser, hot och utmaningar som Sverige står inför. Vårt sätt att försöka hjälpa till, helt enkelt.

Idag, en månad senare har föreläsningen aktualiserats om möjligt ännu mer med tanke på de många aktiviteter som pågår inom ramen för gråzonsbegreppet i och omkring Ukraina.

För oss på SRI är det värmande att se den utomordentligt fina respons som initiativet fått! Den senaste månaden har över 1500 personer tagit del av föreläsningen och många har sedan tipsat vidare i egna nätverk, både publikt och icke-publikt.

Här är ett axplock av de många fina reaktioner vi har fått ta del av när föreläsningen Gråzonsproblematik delats vidare:

”Tag del av detta. I dessa tider mycket relevant och viktiga saker berörs i Björns föreläsning. Tack SRI för att Ni delar med Er.”

”Högaktuellt och kloka tankar inför framtiden. Ta er tid och lyssna på föreläsningen.”

”Mycket intressant föreläsning!”

”Viktig, gratis och bra utbildningsfilm för dig som jobbar i en totalförsvarsmyndighet eller annan samhällsviktig verksamhet.”

Vi vill med detta rikta ett stort tack till er som tagit del av föreläsningen, tipsat, delat och till alla er som återkopplat med värmande ord kring initiativet!

Vi hoppas att vi kunnat dra ett litet strå till stacken för att bidra till ökad medvetenhet och kunskap i en tid som präglas av osäkerhet.

Gråzonsproblematik- gratis föreläsning

Under februari-maj råder det febril aktivitet hos svenska arbetsgivare och hos Sveriges rekryterings- och bemanningsbolag. Rekrytering och bemanning inför sommaren ska planeras, mängder av kandidater ska intervjuas – och för verksamheter som bedriver säkerhetskänslig verksamhet måste sommarpersonalen i vissa fall även säkerhetsprövas.

Det senare är ett moment som många gånger kan leda till ett visst stresspåslag för bland annat rekryterande chefer som har bråttom med att lösa bemanningen inför sommaren. Orsaken? Man glömmer ofta hur lång tid en komplett säkerhetsprövningsprocess faktiskt tar och kanske även är ute i sista minuten med rekryteringarna.

Pierre Gudmundson - SRI

Vi pratade med Pierre Gudmundson, en av våra experter inom just säkerhetsprövning och personalsäkerhet, om vad man som organisation bör tänka på och vad man kan göra för att effektivisera arbetet med säkerhetsprövning av sommarpersonal.

Långa handläggningstider för registerkontroll hos Säkerhetspolisen

Inför och under sommaren är handläggningstiden hos Säkerhetspolisen, som är den instans som genomför den lagstadgade registerkontrollen, betydligt längre än normalt på grund av det stora antalet ärenden som ska hanteras under den här perioden.

”Mitt första tips till arbetsgivare som hanterar sommarpersonal som ska inplaceras i säkerhetsklass är enkelt: Börja i tid, redan nu. Man kan räkna kallt med ännu längre handläggningstider hos Säkerhetspolisen. Normalt har de en handläggningstid på 4-6 veckor. Inför semesterperiod och andra perioder när belastningen går upp är handläggningstiderna kraftigt förlängda. Var därför ute i mycket god tid med att skicka in blanketten ansökan om registerkontroll,” säger Pierre.

”Även i kontakten med en annan avdelning eller med en extern säkerhetskonsult är det rekommenderat att vara ute i god tid. Detta för att säkerställa att värdefull tid inte spills i onödan och att arbetet med grundutredningar eller säkerhetprövningsintervjuer kan schemaläggas så snart som möjligt och delmoment i processen kan klaras av snabbt och smidigt.”

Säkerhetsprövning av sommarpersonal - SRI

Viktigt med onboarding av tillfällig personal inplacerad i säkerhetsklass

En robust och grundlig onboarding av nya medarbetare är viktigt generellt – och sommarjobbare är inget undantag. Även tillfällig personal som bara ska jobba under några månader behöver få en bra och korrekt onboarding, inte minst de som ska inplaceras i säkerhetsklass.

”För att säkerhetsskyddet ska hållas intakt är det viktigt att de personer som inte normalt arbetar på arbetsplatsen får en ordentlig utbildning och genomgång av rutiner och instruktioner. Hur ska de annars veta vad de förväntas göra och hur de ska uppträda vid observationer och säkerhetsrapportering?”

”Jag brukar rekommendera arbetsgivare att påbörja onboarding av sommarpersonal i god tid. Sommarjobbare är ofta yngre och har inte nödvändigtvis samma bas att stå på när det gäller säkerhetskultur och säkerhetsmedvetenhet. Tvärtom kan de behöva ytterligare stöttning utöver vad som normalt skulle krävas vid onboarding av en mer senior och erfaren medarbetare i en ordinarie rekryteringsprocess. Här är digitala lösningar, exempelvis en digital grundkurs i säkerhetsskydd, en bra framgångsfaktor då det går att genomföra en sådan insats i god tid innan anställningen påbörjas och den sommaranställde kan gå en kurs via datorn eller mobiltelefonen i lugn och ro.”

Sommarpersonal en förhöjd risk

Sommarpersonal i säkerhetskänslig verksamhet innebär ofta en förhöjd risk för verksamheten. Detta dels eftersom att en sommaranställning självklart är tidsbegränsad i omfattning, vilket kan ha inverkan på den anställdes lojalitet till arbetsgivaren, men den anställde är dessutom ofta oerfaren och får både behörighet och insyn i den säkerhetskänsliga verksamheten.

Det är ofta många personer som onboardas samtidigt eller inom samma tidsperiod vilket kan, om man inte har robusta rutiner på plats, leda till att kvalitetssäkringen kring lämplighet försämras tillfälligt. Detta kan i förlängningen innebära ett fönster för utnyttjande av dessa situationer och sårbarheter från hotaktörer.

”Det många arbetsgivare bör fråga sig själva är vad de gör idag och vilka skyddsmekanismer som finns på plats för att motverka detta. Här gäller det att vara konkret och tydlig med den sommarjobbare som ska få förtroendet att verka inom ramen för säkerhetskänslig verksamhet. Utbilda och informera kring vilka beteenden som är ok och inte ok, inte minst när det gäller i en digital kontext. Vad får man och vad får man inte tala om, fotografera, dela i sociala medier med mera? Vad får man prata om på bussen till jobbet eller med sina vänner? Vad ska man vara uppmärksam på och vad ska man rapportera om?”

Fem faktorer för framgång:

På SRI är vi redan nu i gång och hjälper våra kunder med säkerhetsprövning av sommarpersonal. Fem faktorer som genom åren har visat sig vara nycklar till framgång kopplat till genomförande av säkerhetsprövningsprocesser för SRI:s kunder har varit:

  1. Var ute i god tid: Än en gång, en komplett säkerhetsprövningsprocess tar lång tid. Precis som vi tidigare nämnt är en nyckel till framgång att vara ute i mycket god tid.
  2. Kommunicera både tidigt och tydligt: Informera den prövade om den kommande säkerhetsprövningen, vilka delar som ingår i processen, hur processen går till och vad prövningen innebär för den prövade från ett integritetsperspektiv. Uppmuntra även den prövade att ta kontakt med referenser tidigt och ställ krav på exempelvis återkoppling inom en viss tidsperiod.
  3. Ha en rigid process och struktur: Det är viktigt att ha en rigid process och struktur på plats för både förberedelser, genomförande, dokumentation, avrapportering och eskalering vid uppkomna frågetecken kring exempelvis lämplighet.
  4. Gör rätt direkt: En fallgrop som kan skapa ännu längre handläggningstid hos Säkerhetspolisen är att man slarvar eller gör fel när man fyller i blanketter som registerkontrollblanketten.
  5. Ta hjälp: Vid behov, ta intern hjälp ifrån kollegorna på säkerhetsavdelningen eller på HR – eller från en extern säkerhetskonsult som kan hjälpa dig att checka alla boxar och göra rätt hela vägen. Det sparar värdefull tid och hjälper organisationen att förebygga och riskminimera.

I januari i år skärptes kontrollerna av verksamheter som bedriver säkerhetskänslig verksamhet – och brister i säkerhetsskydd och personalsäkerhet kan bli en kostsam historia. Regeringen gav under förra året Försvarsmakten och Säkerhetspolisen i uppdrag att etablera ett nytt tillsynssystem inom säkerhetsskyddsområdet – något som nu trätt i kraft.

Tillsynssystemet innebär i praktiken att verksamhetsutövare som innehar SUA-avtal får ett betydligt större ansvar för att utöva tillsyn och rapportera brister i det egna leverantörsledet.

Med anledning av de nya kraven tog vi en pratstund med Erica Eriksson och Pierre Gudmundson, SRI:s experter inom personalsäkerhet och säkerhetsskydd, för att förstå mer om hur skärpningarna kommer att påverka svenska verksamheter och vad de kan göra för att säkerställa att eventuella brister åtgärdas snabbt.

Experter inom personalsäkerhet - Pierre Gudmundson och Erica Eriksson

”Säkerhetsskyddslagen förnyades och började gälla i sin nya form 2018/2019. Regeringen föreslog därefter, i februari 2021, att lagen skulle skärpas ytterligare. Försvarsmakten och Säkerhetspolisen fick då i uppdrag att analysera och ta fram förslag på skärpningar. Dessa förslag presenterades i oktober 2021. Vissa av de förslagna åtgärderna klubbades igenom direkt och började gälla redan i december och resterande föreslagna åtgärder trädde i kraft den 1 januari 2022,” berättar Pierre.

Parallellt med den ökade tillsynen kan verksamheter som brister i säkerhetsskyddet åläggas viten på upp till 50 miljoner kronor.

Det saknas ofta flera viktiga pusselbitar inom området Personalsäkerhet och många arbetsgivare kommer snabbt behöva göra insatser för att både följa lagen och samtidigt undvika viten, berättar Erica.

Ericas erfarenhet är att många organisationer upplever utmaningar kopplat till att implementera dessa nya processer och få ihop helheten och att det är många som hör av sig för att få stöttning och konsultation.

”Om man stannar upp, reflekterar och sätter tydliga processer som kommuniceras innan man börjar med exempelvis säkerhetsprövningar har man mycket att vinna. Dels vinner man medarbetarnas förtroende och minskar risken att hamna i diskrimineringsärenden. Dels kan man kan tydligt se att alla lagstyrda komponenter är på plats, som exempelvis uppföljande säkerhetsprövning och utbildning,” menar Erica.

”Det positiva är att det finns lågt hängande frukt gällande de insatser som krävs för att linjera med lagkrav och därmed även undvika dessa hissnande vitesbelopp. När vi tar oss an ett nytt uppdrag brukar det börja med en ordentlig inventering av vad som finns på plats, vad som saknas och var bristerna är mest akuta,” fortsätter Erica.

Pierre Gudmundson berättar att han också upplevt ett ökat antal förfrågningar från svenska verksamheter kopplade till just säkerhetsskydd sedan de nya kraven trädde i kraft.

Arbetsgivare som själva insett att de inte har alla pusselbitar på plats kontaktar oss då de är oroliga för att de inte linjerar med säkerhetsskyddslagen och behöver hjälp med att hamna på grönt, säger Pierre och fortsätter:

”Som Erica nämner finns det lågt hängande frukt kopplat till insatser som verksamheterna själva kan göra, eller i samarbete med en partner som oss, och som en proaktiv hjälp för våra kunder har vi bland annat tagit fram en checklista som de kan använda för att utvärdera sitt eget nuläge, reducerar risker och ökar compliance mot lag och avtal inom personalsäkerhetsområdet.”

SRI har tagit fram en heltäckande verktygslåda inom säkerhetsskydd. Den täcker in allt ifrån policy-dokument och verktyg för chefer som ska arbeta med säkerhetsprövning till digitala utbildningar inom säkerhetsskydd, som underlättar vid kontroll från tillsynsmyndigheter och minimerar tidsåtgång för alla inblandade.

”Just kombinationen av strategiska och operativa insatser som kan sjösättas parallellt har visat sig vara mycket effektivt. På ledningsnivå är man mån om både tids- och kostnadsaspekten och vi kan på detta sätt värna om båda. Ett exempel på detta är våra digitala utbildningar Grundkurs säkerhetsskydd, Intervjuledare säkerhetsprövning och Uppföljande säkerhetsprövning har blivit väldigt uppskattade då de underlättar för arbetsgivare att snabbt och kostnadseffektivt hamna på rätt köl när det gäller kravet på utbildning för personal inplacerad i säkerhetsklass,” säger Erica avslutningsvis.

SRI:s checklista för att reducera risk och öka compliance inom Personalsäkerhet:

  • Säkerställ så att verksamheten har en utsedd säkerhetsskyddschef och att denne har uppdaterad och korrekt kunskap om de förändringar som nu trätt i kraft kopplat till säkerhetsskyddslagen.
  • Se över verksamhetens rutiner kring hur initial säkerhetsprövning genomförs.
  • Säkerställ att rutiner för on/off-boarding fungerar för medarbetare som inplaceras i en säkerhetsklassad befattning.
  • Se över verksamheter rutiner för det uppföljande säkerhetsprövande arbetet så att det både bedrivs, fungerar och dokumenteras på ett korrekt sätt.
  • Säkerställ att personal som genomför de initiala säkerhetsprövningarna är utbildade på området.
  • Genomför uppföljande säkerhetsprövande samtal med alla medarbetare som är inplacerade i en säkerhetsklassad befattning och ompröva om lämpligheten ska kvarstå.
  • Säkerställ att alla som ingår i säkerhetskänslig verksamhet också har lämplig utbildning och kunskap om vad detta innebär samt vilka krav och förväntningar som finns.
  • Säkerställ att personal som genomför de uppföljande säkerhetsprövande samtalen har kunskap om hur dessa samtal ska gå till, vad som ska avhandlas, hur de ska dokumenteras och på vilka grunder beslut bör tas.

Under det gångna året har tusentals personer besökt vår blogg och läst våra artiklar där vi delar med oss av kunskap och inspiration, omvärldsbevakar och där våra säkerhetsexperter uttalar sig om aktuella ämnen inom de olika områden som vi brinner mest för: Ett säkert Sverige och en säker omvärld, Säkerhetsskydd och personalsäkerhet, Bakgrundskontroller, Säkerhetsutbildning och Digital referenstagning.

Nu är det nytt år och du som följer oss kan räkna med att vi fortsätter att dela med oss av så mycket kunskap, inspiration och omvärldsbevakningar vi kan under året. Men, innan vi lämnar 2021 bakom oss helt delar vi med oss av våra fem mest lästa artiklar från 2021.

Säkerhetsblogg - mest lästa artiklar 2021

Här hittar du våra fem mest lästa artiklar 2021:

  1. Vad är VUCA?
    I en av våra mest lästa artiklar från förra året svarar vi helt enkelt på frågan Vad är VUCA? – en förkortning och ett begrepp som dykt upp allt oftare i bland annat medierapportering från vår osäkra och komplexa omvärld.
  2. Digitalisering: Experterna om digitala HR-processer, trender och verktyg inför 2021
    Inför det nya året 2021 bad vi ett antal HR- och digitaliseringsexperter att trendspana kring vilka trender som skulle bli heta under det kommande året och samtidigt tipsa om spännande digitala tjänster för HR. Artikeln blev väldigt uppskattad och lästes frekvent under hela förra året.
  1. SRI:s säkerhetsexperter om hotet mot Sverige, Säkerhetsskyddslagen och vår osäkra omvärld
    I den här lite mer omfattande artikeln fick våra egna säkerhetsexperter reflektera över de interna och externa hot som Sverige och omvärlden står inför efter pandemin och under kommande år. Hot från kriminella nätverk, våldsbejakande extremism, insiderproblematik såväl som påverkan från främmande makt har varit vida omskrivna under de senaste åren. Samtidigt fick våra experter möjlighet att reflektera kring innebörden av de föreslagna förstärkningarna av Säkerhetsskyddslagen som nu trätt i kraft.
  1. Är en bakgrundskontroll att jämföra med ”Registerutdrag” och statliga ”säkerhetsprövningar”?
    SRI:s säkerhetsexpert Pierre Gudmundson förklarar de olika begreppen bakgrundskontroll, Polisens registerutdrag och den statliga säkerhetsprövningen och vilka skillnaden är mellan dessa olika kontrollverktyg.
  1. Behovet av bakgrundskontroller ökar i Sverige – Vad beror det på?
    I den här artikeln belyser vi faktumet att behovet av bakgrundskontroller har ökat kraftigt bland svenska arbetsgivare på senare år och lyfter fram ett antal anledningar och omvärldshändelser som påverkar detta.

Trevlig läsning och välkommen att följa oss på vår blogg även under 2022!

Fler och fler arbetsgivare inser värdet med integrerade arbetsflöden där exempelvis ett HR- eller rekryteringsverktyg kopplas ihop med andra tjänster såsom bakgrundskontroller, digital referenstagning, kandidattester och verktyg för e-signering.

Det man dock ibland förbiser, eller kanske inte inser är möjligt, är att det idag även är tekniskt möjligt och ofta inte särskilt komplext att integrera dessa tjänster direkt i ett egenutvecklat system eller en plattform såsom företagets intranät.

”Vi har på senare tid fått ett flertal frågor från både rekryteringsverktyg och från arbetsgivare som vill underlätta för sina användare eller den interna organisationen. Utvecklingen kopplat till digitalisering av personalrelaterade processer går snabbt idag. Många som vi inleder samarbeten med uttrycker förvåning över hur enkelt det faktiskt var att integrera exempelvis bakgrundskontroller direkt i sina egna verktyg och processer,” säger Johan Hasslert, ansvarig för integrationer och partnerskap på SRI.

Integrerade bakgrundskontroller - Rekryteringsverktyg och interna system

Operativa fördelar med integrerade arbetsflöden:

  • Beställning av exempelvis en bakgrundskontroll eller aktivering av en digital referenstagningsprocess kan göras utan att en medarbetare behöver logga in i ett externt verktyg.
  • Beställaren (medarbetaren) sköter hela, eller stora delar av processen, direkt i en miljö som känns bekant och där man även hanterar övriga delar av rekryteringsprocessen.
  • Beställningsförfarandet kan ofta hanteras med endast en knapptryckning då redan insamlad information om en kandidat kan återanvändas. I samma knapptryckning kan även samtyckesprocessen för bakgrundskontrollen hanteras och aktiveras.
  • Genom att bädda in, integrera, en process likt ovan i det egna verktyget kan organisationen även stötta medarbetaren genom att i samma systemvyer även lägga till egna instruktioner och processdokument – och därmed göra det lätt för medarbetaren att göra rätt.

Förutsättningar för robusta integrationer

För att kunna skapa robusta och säkra integrationer mellan två system krävs det att båda systemen är moderna och förberedda för att kopplas ihop med andra system.

På SRI har vi utvecklat en högkrypterad och GDPR-säker portal där vi använder oss av ett modernt API för integrationer mot rekryteringsverktyg som exempelvis Teamtailor, Jobylon och Ponty såväl som våra kunders interna IT-system och miljöer.

En annan viktig aspekt för en robust integration är säkerheten i kopplingen mellan systemen. I vår portal och vårt API krypterar vi all data som transporteras samt använder avancerade API-nycklar för maximal säkerhet.

 

Om du som använder SRI:s bakgrundskontroller, digital referenstagning eller LFD-kontroller är intresserad av att utforska möjligheten till integration, hör gärna av dig till din kontaktperson hos oss eller kontakta oss via e-post: info@sri.se eller telefon: 08-30 30 73.

® Scandinavian Recruitment Intelligence 2022 | Skapad av Lightweb