Varför lyssnar inte ledningen på mig?

Vad ska det första blogginlägget handla om? Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet egentligen är till hur man genomför en bra riskanalys i praktiken. Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för att informationssäkerhetsarbetet ska lyckas. Ledningens engagemang ni vet…

Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar). Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt. Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger. Ibland lyckas den informationssäkerhetsansvarige faktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet. I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt. Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.

Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart. Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.

För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan. Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva. Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar? Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.

Själv har jag träffat många ledningsgrupper både som anställd och som konsult. Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här:

Funkar inte:

  • Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
  • Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställt den informationssäkerhetsansvarige för att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
  • Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
  • Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
  • Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
  • Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.

 

Funkar:

  • Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
  • Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör. Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
  • Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
  • Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
  • Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
  • Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

 

Detta var några tankar kring ledningens engagemang. Bidra gärna med dina egna!

2 reaktioner på ”Varför lyssnar inte ledningen på mig?

  1. Jag gillar listorna på vad som fungerar och inte. Jag har försökt att komma på något som saknas. Vad är kriteriet på framgång? Jag gissar att det är att få ledningens att diskutera och bifalla bra förslag till effektiva åtgärder och insatser. Då borde väl nyttovärderingar av säkerhetsarbete och åtgärder också hamna på listan över vad som fungerar. Eller? För mig är det bristen på nyttotänk för verksamheten som gör att även säkerhetsmedarbetaren kan förefalla brista i engagemang vis-à:vis ledningen och verksamheten. Det är två sidor av samma mynt. Det väcker i sin tur frågan vilken nytta som skildras idag. ”Compliance Portal” är ett bra exempel. Den officiella nyttan är att effektivisera organisationens hantering i regel- och lagkrav, som så många andra systemstöd för ledningssystem, varmed tid och resurser ska frigöras till kärnverksamheten. Men blir det så?

    För övrigt förtjänar blogginlägget att skrivas om till ett debattinlägg, men där vinkeln ledning-expertmedarbetare ersätts med regering-expertmyndighet. Jag tycker att listade styrkor och svagheter i kommunikation med ledningen i hög grad präglar hur expertmyndigheterna jobbar gentemot regering, och tvärtom, hur regering ser på sina expertmyndigheter. Oengagemanget blir ömsesidigt. Lagkrav och skrämselpropaganda (ryssar och kineser) ersätter sakliga riskanalyser och åtgärdsprioriteringar. I Riksrevisionens senaste granskning talas om vikten av tydliga styrsignaler från regeringen, men det förutsätter väl att expertmyndigheterna också kan värdera nytta och risker på ett sakligt sätt. Jag önskar att Riksrevisionen kunde belysa det nästa gång, saklighet i nytto- och riskvärderingar på området.

    • För mig handlar det rätt mycket om behovet av ett traditionsskifte generellt. Mycket av traditionen inom säkerhetsområdet bygger på värderingar från militär eller polisiär verksamhet där ju målet för säkerhetsarbetet ju per definition ligger utanför den egna organisationens intresse för att upprätthålla den egna verksamheten med tillräcklig kvalitet. Att beräkna kostnader, kvalitet och effektivitet blir i det perspektivet ointressant. Denna bakgrund tror jag har lett till valhäntheten i kommunikation och argumentation. Som du skriver är det ju viktigt att regeringen ger styrsignaler, men vilka styrsignaler? Det ligger en inbäddad paradox i om regeringen måste beordra myndigheterna att de måste tänka på sin egen verksamhet.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *