Security-kultur

Abstract

Forsvaret har hatt et stort fokus på safety i lengre tid, mens security ikke blir omtalt og håndtert i like stor grad i det daglige arbeidet. For å håndtere security må det ligge en security-fokusert kultur til grunn. Vi har valgt å fokusere på å kartlegge security-kulturen og hvordan den kan bidra til håndtering av trusler, spesifikt innsidetrussel. Hensikten med forskningen er å kartlegge menneskelige, teknologiske og organisatoriske (MTO) faktorer som påvirker risikoen og organisasjonens evne til håndtering. Verdier, sårbarheter og trusler beskriver risikoen, og organisasjonens adferd og føringer påvirker det risikobildet som skapes. Følgende problemstilling innleder til videre forskningsarbeid: «Hva kan Marinen som organisasjon gjøre for å forbedre security-kulturen?» Gjennom første forskningsspørsmål, ved bruk av etterretningsbaserte rapporter og fagintervju, forsøker vi å vise et bilde av innsidetruslene som Marinen står ovenfor. Forskningsspørsmål to besvares gjennom observasjoner, fag-, ledelse- og hurtigintervjuer hvor vi ser på nåværende security-kultur i Marinen. Forskningsspørsmål tre besvares ved å se sammenhengen mellom forskningsspørsmål en og to, og trekke ut mulige tiltak for å forbedre security-kulturen i Marinen. Analysen viser at innsidetrusselen er høy, og MTO-faktorene er sårbarheter som gjør oss utsatt for angrep. Funnene fra ledelse- og hurtigintervjuene viser manglende kompetanse og forståelse, ikke bare for trusselen, men også for egne verdier og sårbarheter. Dette kan ha en sammenheng med at det ikke er en rød tråd på security i Forsvarets utdanning- og opplæringssystem. I tillegg fremkommer det at prosedyrer og retningslinjer ikke er godt nok kjent. Uklar begrepsbruk, divergerende praksis mellom avdelingene, manglende ressurser og føringer på hva som kreves for å håndtere fagfeltet security, vanskeliggjør håndteringen av security på et gjennomgående nivå i organisasjonen. Intervjufunnene viser også at Marinen ikke har tilstrekkelig robust security organisasjon med delvis uklare ansvarsforhold, og til tross for manglende forståelse så tas det avgjørelsen av hva som er rapporteringsverdig på laveste nivå. I følge resultatene ville det kunne være et behov for et rapporteringssystem som er enkelt nok til å få alle til å rapportere, og at det sitter fagkompetente ansatte et nivå eller to høyere opp som tar vurderingen av hva som må rapporteres videre. Uten et fungerende rapporteringssystem vil ikke organisasjonen kunne ta lærdom av hendelsene, se behovene, eller gi et riktig bilde videre til politisk/strategisk nivå, og organisasjonen vil ikke få nødvendig kompetanse eller ressurser for å håndtere trusselen.