I mitt arbete hanterar vi dagligen mängder av ärenden där egna medarbetare har begått oegentligheter och skadat sin arbetsgivare. Det kan handla om trolöshet, förskingring, kriminellt surfande på företagets datorer, medlemskap i kriminella organisationer etcetera.
Likafullt som att de anställda oftast är företagets största tillgång kan de även utgöra det största hotet mot verksamheten. Vår statistik visar att 60 procent av brotten som drabbar företag är utförda eller möjliggjorts av personer på insidan av företaget och varje felrekrytering kostar i snitt företaget 700 000 svenska kronor enligt utredning utförd av Öhrling/PWC.
Betrodda medarbetare med tillgång till affärskritiska tillgångar, system och skyddsvärd information kan utgöra unika säkerhetsutmaningar. Därför är det bra att gå igenom organisationens potentiella hot och utbilda personalen i de här frågorna för att öka medvetenheten och förebygga risker. Nedan nämns några av de säkerhetsaspekter som organisationer bör beakta.
Intern brottslighet
De ekonomiska konsekvenserna av intern brottslighet kan vara svåra att kvantifiera. Vår erfarenhet säger dock att ju högre upp i företagets hierarki som problemen uppstår desto större blir konsekvenserna.
Det kan även handla om medarbetare och nyckelpersonal med höga behörigheter till företagets IT-system, höga attesträttigheter eller access till affärskritisk information och intellektuell egendom.
- Mänskliga fel och okunskap – Många säkerhetsöverträdelser är oavsiktliga och beror på bristande medvetenhet och kunskap gällande säkerhetsrutiner. Det blir också allt svårare för medarbetare att skilja på privat och jobbrelaterad IT-användning, vilket ökar riskerna för att känslig information kommer i orätta händer. Dessutom behöver man förhålla sig till lagstiftning, standarder och avtalskrav som Dataskyddsförordningen, Lagen om företagshemligheter, kravstandarder för informationssäkerhet.
- Leverantörskedjor och tredje-part – Organisationer anlitar i allt högre grad underleverantörer för att hantera känslig eller skyddsvärd information, exempelvis molntjänster. Även om det bidrar till betydande effektivisering innebär det ofta en hög grad av förtroende för en tredje part och deras medarbetare. Det är naturligtvis lika viktigt att säkerställa att de är pålitliga ur säkerhetssynpunkt?
- Industrispionage och bedrägeriförsök.
- Infiltration.
- Säkerhetsskydd.
Vad som särskilt måste beaktas är Säkerhetsskyddslagen som gäller för den som till någon del bedriver en säkerhetskänslig verksamhet. Den som hanterar säkerhetsskyddsklassificerade uppgifter anses redan på den grunden bedriva säkerhetskänslig verksamhet. I Säkerhetsskyddslagen ställs det krav på personalsäkerhet.
Personalsäkerhet eller Human Risk Management
En bra utgångspunkt när man ska utforma ett personalsäkerhetsprogram är att kartlägga organisationens nuvarande förmåga att förebygga, upptäcka och hantera dessa hot och risker.
Nästa steg är att genomföra en riskbedömning och placera befattningar i olika riskklasser för att därefter utforma och implementera riskbaserade kontroller i företagets HR-process och det HR system som används.
Human Risk Management är process- och systemintegrerade rutiner anpassade till verksamhetsbehov i syfte att effektivisera personalsäkerhetsarbetet. Personalsäkerhet bedrivs alltså i tre lager.
- Policys, system och processer för att förebygga oegentligheter
- System och processer för att upptäcka oegentligheter
- System och processer för att reaktivt hantera incidenter
En grundläggande nivå är att genomföra bakgrundskontroller av anställda, konsulter och serviceleverantörer, särskilt de som innehar högriskpositioner, förslagsvis de som har tillgång till affärskritiska tillgångar.
Att utbilda sina anställda på alla nivåer är också kritiskt, liksom att genomföra uppföljning i syfte att identifiera ändrade eller nya risker. Man behöver också överväga tekniska lösningar såsom analys av användarbeteende, inklusive insamling och bedömning av användardata och aktiviteter med hjälp av ett övervakningssystem.
Mattias Nygren, 2Secure
redaktionen@forvaltarforum.se
Mattias Nygren har under 15 år arbetat vid Polisens Nationella Insatsstyrka (NI). Han har därefter haft en karriär som säkerhetschef inom FN där han arbetat med valsäkerhet, matleveranssäkerhet, evakueringsplanering och skydd av FN:s personal och tillgångar. Han har erfarenhet av arbete i en rad olika högriskländer. Mattias grundade tillsammans med några kollegor från NI säkerhetskonsultföretaget 2Secure som i dag är en av landets ledande aktörer inom kvalificerade säkerhetstjänster för såväl privatpersoner som företag och myndigheter.
