- Det trusselbildet som offentlige og private virksomheter står overfor øker både i omfang og i kompleksitet. Samtidig går ikke sårbarhetsarbeidet i samme takt, noe som fører til at det er et gap mellom trusselutviklingen og de sårbarhetsreduserende tiltakene, sier Andreas Vogt som er tjenesteleder og direktør for sikkerhet og beredskap i BDO.

Naturkatastrofer, terror, nasjonalstater som driver med overvåking av kritisk infrastruktur, slik at de for eksempel kan bli i stand til stoppe kraftforsyning, industrispionasje og cyberangrep er bare noen eksempler på hvilke trusler som finnes.

- Når det kommer til sikkerhetsarbeidet ute i organisasjonene er det imidlertid viktig å ha en helhetlig tilnærming der man både ser på menneske, teknologi og organisasjon, forklarer Dagfinn Buset som også er tjenesteleder og direktør for sikkerhet og beredskap i BDO.

 Fokuserer på det som forekommer hyppigst

- Når organisasjoner gjør risikovurderinger har de en tendens til å fokusere mest på det som tilsynelatende forekommer hyppigst, og i mindre grad på de hendelsene som forekommer sjeldnere, men som kan ha store konsekvenser. Eksempler på slike hendelser er blant annet terror. Når risikovurderinger gjøres på denne måten skaper det en metodisk utfordring hvor man gjerne ikke ser hele det totale risikobildet, sier Vogt.

- Naturkatastrofer og hendelser som ikke er tilsiktede, er en ting. Noe helt annet er de tilsiktede uønskede handlinger. For når kapasitet kombineres med intensjon, så vil det forekomme uønskede handlinger, tilføyer Buset.

Mange foretar ikke risikovurderinger

Flere offentlige undersøkelser peker på at bedrifter og organisasjoner i liten grad gjør risikovurderinger og i liten grad erkjenner risiko.

- Det skorter ofte på å sette inn tiltak som kan bidra til å reduseres organisasjonens sårbarhet, sier Buset, mens Vogt tilføyer:

- Vi gjør mange evalueringer av sikkerheten i både offentlig og privat sektor. Et gjennomgående problem er at sikkerhetsrisiko ofte ikke er på agendaen, og derfor har disse virksomhetene heller intet styringssystem som er i stand til å håndtere risiko. Disse organisasjonene gjennomfører med andre ord ingen risikovurderinger, og hvis man ikke gjør det, finner man ikke frem til hvor de sårbare punktene er og får heller ikke iverksatt de tiltakene som er nødvendige, sier han.

Organisasjoner som ikke foretar risikovurderinger, øver som regel heller ikke, derfor kan det lett bli kaotiske tilstander hvis det oppstår hendelser.

Et ledelsesansvar

Ansvaret for sikkerhetsarbeidet ligger ofte langt nede i organisasjonen, for eksempel er det ganske vanlig at ansvaret for IT-sikkerhet ligger hos IT-avdelingen, sier Buset, og legger til:

- Vi ser at sikkerhetsarbeidet ikke er integrert i virksomhetsstyringen på samme måte som økonomi og strategi. Det er også ganske sjelden at sikkerhet kommer opp som tema i styrene. Selskaper har ofte forskjellig syn på hendelser før de skjer, mens de skjer og etter at de har skjedd. Før ting skjer tror man kanskje at noen tar seg av eventuelle hendelser, men når det skjer viser det seg at det blir mye armer og ben for å komme igjennom hendelsen. Etter en slik hendelse er det ganske vanlig å peke på andre enn seg selv, istedenfor å ta ansvar for situasjonen.

Sikkerhet er god økonomi

Virksomheter bør ha strukturer og prosesser for å gjennomføre helhetlige risikovurderinger og gjøre dem på en metodisk riktig måte slik at de både omfatter tilsiktede og ikke tilsiktede hendelser.

- Alle organisasjoner bør ta risikobildet på alvor og være villige til å investere i sikkerhet, for sikkerhet er god økonomi, avslutter Vogt.

Forebyggende sikkerhetstiltak

  • Forebyggende sikkerhetsarbeid krever gode tiltak innen fysisk sikkerhet, personellsikkerhet og informasjonssikkerhet
  • For å beskytte en virksomhets verdier er det viktig å reflektere over hvilke typer sikringstiltak som er hensiktsmessige for nettopp denne virksomheten.
  • Den viktigste ressursen er gjerne menneskene, men de kan også utgjøre en trussel. En utro tjener eller ansatte som kanskje blir manipulert til å fremskaffe sensitiv informasjon kan gjøre stor skade. Det gjelder å ha rutiner og systemer som reduserer sårbarheten på en slik måte at det blir balanse mellom tillit og kontroll.
  • For de fleste virksomheter er tilgang til informasjon avgjørende for å nå virksomhetens mål. Informasjonen må være riktig og tilgjengelig for de som skal bruke den, samtidig som den skal være skjermet for innsyn og manipulering fra uvedkommende. En forutsetning for å slik måloppnåelse er å ha et veletablert styringssystem for informasjonssikkerhet som er tilpasset virksomhetens egenart og behov og det til enhver tid gjeldende risikobildet.