Guide: Kom igång med systematiskt säkerhetsarbete i organisationen
Prioriterar ni säkerhetsarbete i er organisation? Arbetar ni med bakgrundskontroller idag eller funderar ni på att börja använda detta verktyg i ert säkerhetsarbete? Lyder ni under regulatoriska krav som skapar ett ramverk och inriktning för ert säkerhetsarbete, eller skapar ni ramarna själva?
Oavsett vilket svaret eller svaren är för er så är det viktigt att analysera och förstå varför ni som organisation anser att ett löpande systematiskt säkerhetsarbete behövs hos just er. Har ni delar ni behöver skydda, ja då är det samtidigt relevant att genomlysa vilka roller ni i så fall anser berörs och som kan påverka det ni vill skydda – varför de berörs?
Svaret är både enkelt och väldigt komplext. Om ni inte tydligt klarlagt VARFÖR ni faktiskt behöver skydda er på ett visst sätt, VAD ni vill skydda och VAR ni anser riskerna är förhöjda och på vilket sätt ni motiverar för er själva, att ett verktyg som en bakgrundskontroll riktad mot en ROLL skulle reducera dessa risker – ja då är själva investeringen egentligen något annat än ett verktyg i ert proaktiva och systematiska säkerhetsarbete.
I den här guiden delar vår säkerhetsexpert Pierre Gudmundson med sig av insikter, kunskap och frågeställningar som hjälper er att komma igång med säkerhetsarbetet i organisationen.
Viktigt med en stabil grund för säkerhetsarbetet
Det är också mer riskfyllt att inte klarlägga behovet av skydd – detta eftersom ni eventuellt saknar laglig rätt att göra till exempel en bakgrundskontroll. Precis som syftet med bakgrundskontrollen är att underlätta de medvetna risktagningarna, innan man blivit riskägare, är det också viktigt att lägga grunden för sitt säkerhetsarbete rätt, så man inte begår medvetna eller omedvetna lagöverträdelser. Det blir också mer ekonomiskt försvarbart och de investeringar som görs genererar effekt där de gör mest nytta.
Frågorna nedan hjälper er att komma igång med att strukturera och tänka i dessa frågor. Genom att besvara frågorna får ni förhoppningsvis en ökad förståelse för argumenten kring ett kommande säkerhetsarbete, hjälp med att motivera och underlätta beslut samt en mer konkret kunskap kring eventuella risker och vart de finns, i er organisation. Detta är inte ett stöd till en ordentlig befattningsanalys och är inte tänkt att uppfattas så. Men det är en väg till ökad förståelse, in i det konceptet.
Samtliga frågor kan besvaras JA/NEJ och ett JA-svar innebär då generellt sett att befattningen innebär en förhöjd risk för en organisation. I en rekryteringsprocess eller vid en befordran bör man då överväga att förstärka en befintlig rekryteringsprocess med en bakgrundskontroller. Det är också ett sätt att indikera vilka delar en bakgrundskontroll bör belysa.
Det kan då även vara läge att genomföra en så kallad befattningsanalys, där detta mer systematiskt gås igenom och ni lättare får ett konkret underlag att ta vidare in i ert policy-arbete.
Känner ni er osäkra på er status kring dessa viktiga frågor så är det viktigt att ni hittar en lämplig och kunnig partner som kan hjälpa er att navigera rätt.
Inledande frågor:
- Har ni gjort en befattningsanalys över behörigheter, tillgång till information och annat som den aktuella befattningen kommer ha?
- Har analysen kopplats till hot och risk så ni tydligt kunnat ta ställning till hur ni betraktar befattningen utifrån säkerhet, sårbarhet och risk?
- Är det av vikt att individen i en viss roll har ett visst uppträdande och en viss historik som linjerar med organisationens värdegrund eller liknande? Hur säkerställer ni detta idag?
Fördjupande frågor:
- Kommer befattningen ha tillgång till känslig information om företaget eller dess personal och/eller kunder?
- Innebär befattningen att innehavaren blir en singelkompetens?
- Innebär befattningen att man är chef och har ansvar för medarbetare?
- Kommer befattningen hantera ekonomi, kanske attestera eller kontera?
- Kommer befattningen ta beslut kring inköp, val av leverantörer eller ensam hantera upphandlingar?
- Kommer befattningen ha tillgång till strategisk information?
- Kommer befattningen ha tillgång till fysiska utrymmen som är av känslig karaktär, exempelvis säkerhetsskåp där samförvaring sker, serverrum eller annat liknande?
- Kommer befattningen delta i möten högre upp i organisationen, exempelvis LG-möten eller motsvarande?
- Kommer befattningen vara föredragande inför högre delar i organisationen och därmed kunna påverka beslutsprocesser?
- Kommer befattningen kunna dela ut behörigheter till andra avseende fysiskt tillträde eller i IT-system?
- Kommer befattningen ingå i IT-projekt eller andra projekt som är av känslig karaktär?
- Kommer befattningen hantera ledningsgruppens eller VD:s information som ett stöd i stab eller som assistent eller liknande?
Om någon av frågorna ovan besvaras jakande bör ni lyfta frågan om bakgrundskontroller och att specifika roller i organisationen med stor sannolikhet kommer hantera information som är skyddsvärd för organisationen och som kan skada och orsaka oönskade konsekvenser för denne. Detta om informationen hanteras ovarsamt eller kommer i orätta händer.
Rollerna öppnar upp för möjligheter som helt enkelt kan missbrukas av en anställd, eller av en tredje part som utnyttjar en anställds sårbarheter. Ni vill i rekryteringsprocessen skapa en transparent dialog och förståelse kring sårbarhet och risk, innan ni fattar beslut om anställning. Det är proaktivitet!
Om någon fråga besvarats JA och ni väljer att inte förstärka er rekryteringsprocess innebär det de facto att ni gör en medveten risktagning och det kan ni då dokumentera, det är ett ställningstagande utifrån er riskaptit i organisationen. Det finns inget klandervärt i det!
Detta bör dock förankras och den med rätt mandat ska ta beslutet. En HR chef och/eller säkerhetschef bör involveras i en sådan dialog och inför ett sådant beslut. Konsekvenserna kan bli stora och kännbara för en organisation och då bör inte en enskild medarbetare eller projektledare ensam ha tagit ett sådant beslut i ett enskilt spår.
Organisationen bör istället ha tagit central ställning eller regionalt om hur frågor av ovan karaktär ska ingå och besvaras vid rekryteringsförfaranden. Vidare vilken innebörd ett eller flera jakande svar i så fall ska få och vilka åtgärder som ska vidtas för att förstärka processen och bistå i att reducera risker.
En dialog kring ovan frågor leder er till rätt beslut och skapar både upplevd och faktisk trygghet. Ekonomi kan ofta i ljuset av dessa frågor bli uppenbart sekundär. Ert långsiktiga säkerhetsarbete underbyggs vilket även innebär att ni får andra synergier. Exempelvis högre trygghet bland medarbetarna och färre personalärenden/ incidenter. Det finns en klar ekonomisk fördel i detta sätt att arbete, det är proaktivt.
SRI – en kunnig partner i organisationers säkerhetsarbete
Vi på SRI har lång erfarenhet av att hjälpa organisationer i deras befattningsanalys-arbete, så att de kommer vidare och kan utveckla och justera sina policys. På så sätt linjerar de bättre med sina säkerhetsanalyser och den sammantagna bilden av hur logik ser ut och riskarbetet byggts upp, helheten skapas och processer blir mer rationella.
Vi erbjuder workshops för er som vill få hjälp i detta arbete. Då kan ni sedan också tydligt argumentera för att ni behöver vidta vissa riskreducerande åtgärder och varför ni valt att göra det.