Sammanfattning

En stor del av alla informationssäkerhetsincidenter som inträffar runtom i världen beror enligt företag och organisationer på mänskliga fel och misstag (”human error”) (Schwab & Poujol, 2018), (BakerHostetler, 2016) men det upplevs vara få av dessa organisationer som utreder varför deras användare begår misstag eller hanterar information på fel sätt. Istället klassas det som en orsak i sig till informationssäkerhetsincidenter vilket medför att dessa misstag inte analyseras närmre, trots att det finns mycket kunskap att vinna.

Slutsats 1

Människor ses som en orsak till incidenter eller en svaghet och vidare analys av incidenter där mänskligt agerande varit inblandat hindras av detta synsätt då analytikern härleder incidentens orsak till människan och inte längre. Genom att börja se människans agerande och människan i sig som enbart en del i systemet, en del av hela organisationen, kan ny kunskap utvinnas vilket kan påverka informationssäkerheten positivt.

Informationssäkerhetsområdet står inför stora utmaningar vad gäller att öka möjligheten att anpassa organisatoriska åtgärder utefter de människor som påverkas av åtgärderna utan att negativt påverka människornas effektivitet. Ett sätt att bemöta denna utmaning skulle vara att utgå ifrån ett Safety II perspektiv och använda sig av designinriktade arbetssätt enligt området Human Factors för att skapa informationssäkerhetshöjande åtgärder som är anpassade utefter kontexten de förs in i, användarna som kommer i kontakt med dem och de mål som appliceras.

Slutsats 2

I dagsläget införs organisatoriska informationssäkerhetsåtgärder som anpassas till den aktuella organisationen men inte själva användarna som påverkas av åtgärden. Detta kan medföra problem så som förlorad effektivitet eller ökad arbetsbelastning hos användarna. Vilket i sin tur kan leda till att vissa ”tar genvägar”, ignorerar rutiner eller åtgärden. Genom att ta ETTO-principen i beaktning och applicera ett Safety II-perspektiv kan ny kunskap kring vad som ökar sannolikheten för lyckade processer genereras. Denna kunskap kan sedan utgöra grunden i vidare analysarbete med Human Factors-perspektiv. Dessa analysarbeten ska inneha fokuset att identifiera, producera och implementera informationssäkerhetssåtgärder, både tekniska och organisatoriska, som är passande i den kontexten åtgärderna ska användas i och som gör det enklare och effektivare för användarna att agera så rätt som möjligt.

För att kunna införa Safety II perspektiv i en organisation så krävs det även att kulturen i organisationen reflekterar dessa tankesätt. En rättvis kultur (Just Culture) kan bidra till en effektivare implementering av Safety II-perspektivet. Det ska dock påpekas att ”Just Culture” inte bör ses som det sista steget vad gäller organisationskultur utan bör vidareutvecklas och över tid kanske även förändras till något annat, beroende på vad som är passande i aktuell organisation. Det ska ses som ett steg i rätt riktning.

Slutsats 3

En rättvis kultur (Just Culture) i en organisation där informationssäkerhetsarbetet och dess processer vidareutvecklas med hjälp av Human Factors-metoder enligt Safety II-principer tror jag ger upphov till färre och mindre allvarliga informationssäkerhetsincidenter jämfört med en organisation där en kultur av skuldbeläggande premieras samt där allt ansvar läggs på användaren genom rutiner, regler och krav.

Referenser

BakerHostetler. (2016). Data Security Incident Response Report. Houston: BakerHostetler.

Boysen II, P. G. (2013). Just Culture: A Foundation for Balanced Accountability and Patient Safety. The Ochsner Journal 13, 400-406.

EUROCONTROL. (2013). From Safety-I to Safety-II: A White Paper. Bryssel: EUROCONTROL.

Hollnagel, E. (2009). The ETTO Principle: Why things that go right sometimes go wrong. Farnham: Ashgate.

Hollnagel, E. (2014). Safety I and Safety II: The Past and Future of Safety Management . Farnham: Ashgate.

International Organization for Standardization. (2013). ISO/IEC 27002 – Information technology – Security techniques – Code for practice for information security controls. Genève: International Organization for Standardization, International Electrotechnical Commission.

Salvendy, G. (2012). Handbook of Human Factors and Ergonomics. Hoboken: John Wiley & Sons, Inc.

Schwab, W., & Poujol, M. (2018). The state of industrial cybersecurity 2018. München: PAC, A CXP Group Company.