Informationssäkerhet, ETTO och Human Factors

Organisatoriska åtgärder anpassas inte, som tidigare nämnts, på samma vis som tekniska åtgärder, de anpassas ofta utefter aktuell organisations behov men sällan anpassas de utefter människorna i organisationen. I samband med införandet av extra steg i en process eller en extra arbetsbelastning, för att genomföra samma uppgift som tidigare med oförändrat resultat, så skapas det en kognitiv intressekonflikt hos användaren. Studier har visat att effektivitet och noggrannhet (som säkerhet är) har en relation där de tar av varandra. Det vill säga om effektiviteten ökar, så minskar noggrannheten och om noggrannheten ökar så minskar effektiviteten. Detta samband benämns som ”Efficiency – Thoroughness Trade-Off” (ETTO) – principen (Hollnagel, 2009). Målet är inte att öka den ena aspekten mer än den andra, utan att hitta den specifika balans mellan effektivitet och noggrannhet som passar bäst i den givna situationen. I och med införandet av organisatoriska åtgärder så som regler och rutiner vilka ofta innebär extra arbete eller extra kunskap så läggs mer och mer tyngd på noggrannhet vilket påverkar effektiviteten negativt. Det i sin tur betyder att användaren antingen kommer att uppnå samma eller sämre resultat jämfört med tidigare men även en högre arbetsbelastning eller en ökad tidspress.

Detta ska sättas i perspektiv med tekniska åtgärder som användaren ofta inte alls märker av, om det inte är till exempel införande av tvåstegsverifiering vid inloggning eller liknande. Med det sagt så ska tekniska och organisatoriska åtgärder ses som lika viktiga i arbetet mot högre informationssäkerhet. Det kan till och med argumenteras för att organisatoriska åtgärder är viktigare än tekniska i och med att felaktigt beteende till och med i vissa fall kan kringgå tekniska skyddsåtgärder (International Organization for Standardization, 2013).

Ett sätt att ta ETTO-principen i beaktning är att utforma informationssäkerhetsåtgärder utifrån ett Human Factors-perspektiv. Human Factors är en tvärvetenskaplig disciplin inom forskning och företagsvärlden som fokuserar på att analysera mänsklig interaktion med diverse artefakter (verktyg, datorer, regler, policy, andra människor, fordon, mjukvaror, organisationer osv) utifrån ett helhetsperspektiv av design-, ingenjörs-, lednings- och teknologiska principer (Salvendy, 2012). Human Factors begreppet likställs med Ergonomi som inbegriper både fysisk, kognitiv och organisatorisk ergonomi. Målet inom Human Factors är att utforma tjänster, organisationer, uppgifter, verktyg med mera utefter den individ, och dennes förutsättningar, som är tänkt ska utföra uppgiften. Det vill säga forma uppgiften och verktygen utefter människan och målet, inte tvärtom. På så sätt uppnås möjligen balansen mellan effektivitet och noggrannhet enklare.

Informationssäkerhet, Safety I och Safety II

Inom säkerhetsbranschen talas det ofta om perspektiven Safety I och Safety II. Safety I definieras som det traditionella sättet att se på säkerhet, det vill säga att analyserna utgår ifrån att identifiera alla möjliga risker som något kan utsättas för (proaktiv) samt kartlägga de incidenter som redan inträffat (reaktiv) i syfte att skapa åtgärder som implementeras i systemet eller organisationen för att hindra att något inträffar igen eller att en identifierad risk inte inträffar över huvud taget (Hollnagel, 2014). Fokuset för Safety I är därmed allt som kan gå fel och orsaka en skada, vilket i sin tur begränsar sig till att analysera enbart en bråkdel av en organisations verksamhet med tanke på att det vanligtvis inte inträffar några incidenter. Genom Safety I går analytikern därmed miste om att analysera och utvärdera den absoluta majoriteten av verksamhetens aktiviteter eftersom synsättet enbart fokuserar på tidpunkter då något gått fel alternativt försöker kartlägga vad som kan gå fel (Hollnagel, 2014). Inom informationssäkerhet är detta perspektiv det mest dominerande, bland annat på grund utav att praktiker tolkat och tillämpar ISO 27001 på detta vis.

Safety II handlar om att utgå ifrån perspektivet att det inte är några extraordinära händelser/aktiviteter som orsakar incidenter utan snarare handlar det om olika kombinationer av vardagshändelser som leder till oförutsedda konsekvenser (Hollnagel, 2014). I och med detta perspektiv så viktas ”det som går fel” och ”vardagliga aktiviteter/det som går rätt” lika, vilket betyder att båda delarna analyseras till lika stor del (Hollnagel, 2014). I och med att Safety II fokuserar både på att;

  • identifiera det som gått fel för att förhindra att det inträffar igen och;
  • på att identifiera samt förstärka de aspekter som gör att vardagliga processer lyckas; så handlar det i mycket om att effektivisera processer för att skapa en säkrare verksamhet.

EUROCONTROL, som arbetar för en gemensam styrning av europeiskt luftrum, presenterar i ett av sina white papers en visuell graf (Figur 1), som visar skillnaden mellan säkerhetsperspektivens (Safety-I och Safety-II) fokus (EUROCONTROL, 2013).

Safety II perspektivet har ännu inte vunnit mark inom området informationssäkerhet men det finns tydliga vinster i att applicera det inom området. Dels för att identifiera sårbarheter och brister men även för att identifiera de styrkor som bidrar till ökad informationssäkerhet, vilket skulle stärka utformningen av både tekniska och organisatoriska åtgärder. Det skulle i teorin leda till både säkrare och effektivare processer i informationssäkerhetsarbetet.