Det systematiska insidepreventiva arbetet börjar redan i platsannonsen
För en säkerhetsfunktion är säkerhetsarbetet en helhet. Det är viktigt att olika implementeringar överlappar varandra och att synergier skapas på så många olika ställen som möjligt i den egna verksamheten. Detta för att den egna förmågan och kapaciteten i princip alltid är kraftigt begränsad i förhållande till behovet.
Därför är säkerhetsfunktionens framgång och effektivitet alltid beroende av hur de övriga funktionerna ser på och bidrar till att nå de övergripande målen som säkerhetsfunktionen arbetar mot.
Inom många verksamheter där säkerhetsfunktionen saknas, är ofta denna funktions motsvarighet uppdelad på flera andra funktioner eller chefer. Verksamheten får i dessa fall svårigheter med det systematiska arbetet, att analysera behovet, att följa upp på ett adekvat sätt och det blir lätt att man missar viktiga delar, eller fokuserar på fel delar.
Eftersom de interna riskerna och hoten primärt kommer från den egna personalen är samverkan mellan chefer och centrala funktioner helt avgörande för att mitigera och reducera de sårbarheter och risker som är förknippade med personal.
Den kritiska vägen till en insiderhandling är inte rak eller lika för alla
Det må låta banalt att säga det, men det tål samtidigt att påminnas om: Personalen består av individer – människor som alla är unika. Dessa unika individer har unika livssituationer där exempelvis det psykiska måendet eller den ekonomiska situationen kan förändras från månad till månad, år till år.
Det är därför viktigt att komma ihåg att:
- Varje situation är unik och beteenden, lojaliteter, sårbarheter och privatliv ser inte likadant ut för hela personalstyrkan. Därför behöver det skapas många möjligheter för att fånga upp och upptäcka när individers situationer förändras. Här behöver hela organisationen hjälpa till – inte minst organisationens chefer.
- Olika relevanta riskindikatorer kommer att kunna visa sig och uppträda på olika sätt. Därför är det viktigt att ha en bred möjlighet att upptäcka dessa indikatorer så tidigt som möjligt.
Säkerhets- och befattningsanalys – grundläggande byggstenar
Det som en del kallar för säkerhetsanalys, säkerhetsskyddsanalys eller risk- och sårbarhetsanalys är viktiga och grundläggande byggstenar för att kunna dimensionera och rikta sina riskreducerande insatser rätt inom verksamheten.
För att kunna göra detta systematiskt, likabehandlande och icke-diskriminerande avseende personal, så behöver verksamheten även genomföra det som kallas för befattningsanalys. I denna identifieras skyddsvärden och sårbarheter inom verksamheten samt vilka befattningar som kan påverka dessa, genom sina behörigheter och accesser etc.
Detta är information och ingångsvärden för att sätta upp lämpliga riskreducerande insatser, erbjuda stöd, utbildning etc. Detta bör ske både före och under tiden som en individ ges förtroende i en sådan identifierad befattning, där det finns en inneboende potential att kunna skada verksamheten och dess skyddsvärden.
HR är en viktig allierad till säkerhetsfunktionen
En av de, oftast den absolut viktigaste funktionen för säkerhetsfunktionen att samverka med och ha en god relation med är HR. Det är HR som tillsammans med sitt TA-team samt rekryterande chefer är första kontakten med individer som söker sig till verksamheten.
Det är de som skapar sig en initial uppfattning om lämplighet, intervjuar, genomför bakgrundskontroller och referenstagningar och testar. Men det är också de som tar beslut. Ofta fokuserar HR och TA på behovet, kompetensen och kanske gruppdynamik och liknande när man har sin urvalsprocess. Inte alltid inkluderas lämplighet ur ett säkerhetsperspektiv.
Säkerhetsfunktionens önskemål är att rekryterings- och urvalsprocessen också tar hänsyn till lämpligheten ur ett riskperspektiv. Det är även säkerhetsfunktionens önskemål om att de identifierade riskkomponenter som identifieras och ändå i slutändan accepteras, förmedlas vidare till de som senare ska förvalta dessa under, kanske en mycket lång tidsperiod.
Därför blir denna funktions beslut en viktig del i första linjens försvar – och här kan man kraftigt påverka belastningen över tid för de som senare förvaltar.
Personalsäkerhet före anställning
Rekryterings- och urvalsprocess där dessa perspektiv inkluderas och systematiskt tillåts påverka anställningsbeslut, brukar man kalla för personalsäkerhetsarbete pre-hire.
Det är viktigt att befattningsanalysens resultat och utfall också tillåts påverka urvalsprocessen, eftersom förvaltningen och den aggregerade risken, avseende organisationen både på grupp- och individnivå, annars kan skena i väg, bli alltför svår och komplex att arbeta med.
Det är också i efterhand både svårt, resurskrävande och kostsamt att korrigera och reducera initiala risktagningar, oavsett om dessa varit medvetna eller omedvetna när verksamheten inser att man behöver ompröva ett sådant tidigare beslut. Det reaktiva arbetet blir aldrig lika bra som det proaktiva.
Det är självklart också helt kritiskt för att förebygga och kunna agera proaktivt, att relevant information förs vidare till förvaltande organisation och funktion.
Personalsäkerhet och riskförvaltning
Oavsett om en verksamhet har genomför en säkerhetsanalys och en befattningsanalys, som implementerats på ett sätt så att det systematiska och proaktiva personalsäkerhetsarbetet tillåts påverka urvalsprocessen vid rekrytering eller inte, så är den anställda organisationen något som ur ett riskperspektiv ägs av säkerhetsfunktionen tillsammans med de personalansvariga cheferna.
Det är denna funktion och de individuella cheferna, som måste identifiera, följa upp, prioritera, utreda och löpande göra avvägningar utifrån ett risk- och sårbarhetsperspektiv, för att undvika negativa incidenter och oönskade konsekvenser för verksamheten. När det gäller personalsäkerhet, är detta det systematiska insiderpreventiva arbetet.
Detta görs effektivast och kostnadsmedvetet bäst, genom att konceptualiserat inkludera detta tillsammans med andra delar, såsom exempelvis ledarskaps- och säkerhetskultur i ett program. Ett insiderpreventivt program.
Vad innebär ett insiderpreventivt program?
Det insiderpreventiva programmet startar vid platsannonseringen och avslutas när en anställd inte längre tillhör eller har potential att skada verksamheten. Det kallas för personalsäkerhet post-hire och innebär hur detta arbete och risker förvaltas med ett genomtänkt och holistiskt arbetssätt.
I ett sådant program bör man inkludera andra relevanta centrala funktioner, bygga upp ett nätverk med bred förmåga att så tidigt som möjligt upptäcka avvikelser och riskindikatorer.
I ett sådant koncept utbildas samtliga ingående chefer och funktioner, ges instruktioner och rutiner – för att sedan tillsammans skapa goda förutsättningar för säkerhetsfunktionen att upptäcka, prioritera, utreda och mitigera.
Det finns idag en hel del forskning och studier inom detta område. Det finns även metodstöd som grundar sig i denna forskning. Löpande omvärldsbevakning av insiderrelaterad statistik stödjer även denna forskning och de resultat som där påvisats.
Forskningen visar bland annat:
- I en studie var resultatet exempelvis att endast en av tvåhundra (0,5 procent) studerade (bekräftade) insiders, hade haft ett skadligt uppsåt innan anställning. De övriga (99,5 procent) studerade, hade mognat fram i tankar och i sina individuella beslut, under tiden de var anställda.
- I en annan studie så visade det sig att risken är betydligt högre efter ett års anställning än vad den är under anställningen första år.
- I en tredje studie visade det sig att risken för en insiderhandling kraftigt ökar efter att en individ själv tagit beslut om uppsägning.
Sammantaget för dessa studier (som endast är tre exempel av många) är att det tydligt visar sig vara en god investering att ha ett robust insiderpreventivt program på plats – ett program som avser hela anställningsperioden.
En initial prövning av lämplighet stödjer detta program men är inte i sig den effektivaste vägen för att motverka att individer under sin anställning utvecklar ett missnöje, en illojalitet och i värsta fall begår en insiderhandling.
SRI och insiderprevention
SRI har sedan start haft ett mål om att bidra till Sveriges säkerhet, med en fokuserad och systematisk kunskapsinhämtning inom detta område. Vi har löpande låtit våra insikter och analyser från våra studier, påverka hur vi arbetar och på vilket sätt vi vägleder våra kunder.
Med samma fokus har vi de senaste åren fördjupat oss just i insiderprevention, vi har inlett samverkan med experter, vi har tagit kontakt med forskare, vi har rest över Atlanten för att inhämta ny kunskap på området och vi har haft en strävan efter att bli ledande inom insiderprevention.
Vi har utvecklat våra digitala lösningar, tjänster och system och vi har prioriterat att detta arbete måste kunna bedrivas av våra kunder på ett förenklat sätt, samtidigt som det i hög utsträckning ska vara evidensbaserade och legala metoder. Detta arbete fortsätter och våra metoder utvecklas ständigt. Att vi blir bättre och bättre kan vi också tydligt se och mäta.
Det gynnar både våra kunder, de svenska arbetsplatsernas trygghet och säkerhet och det gynnar Sverige.