Security-kultur - en organisasjons intensjoner og dens praksis. En studie om sammenhengen mellom hva som sies og hva som gjøres i en organisasjons arbeid med security.

Abstract

Sammendrag

Vi lever i et risikosamfunn, hvor vi er preget av nye former for trusler. Terrorhendelser, cyberangrep og bevisste anslag av varierende karakter representerer en del av vårt samfunns risikobilde, og tilkjennegir dermed et behov for egnede tiltak og en kultur som støtter opp under dette. Security-kultur er følgelig et begrep som har oppstått etter tilsiktede uønskede hendelser av ulik karakter. Denne oppgaven er en studie om security-kultur, og herunder er det en antakelse at kultur på mange måter er differansen mellom det som sies og det som gjøres. Masteroppgaven er et samarbeid med Safetec, hvor jeg har benyttet foreliggende spørreskjemaundersøkelser og internskriv i mitt datamateriale. I dette samarbeidet har det vært undersøkt en organisasjon, som jeg anonymiserer som XX. Denne organisasjonen er Facility Management-selskap, hvor safety- og security-kulturen har blitt kartlagt.

I organisasjoner uttrykker og kommuniseres det visjoner og strategiske målsetninger relatert til safety og security, som gjerne formuleres gjennom festtaler eller slagord. Dette er manifesterte holdninger som presenterer virksomhetens virke utad, men kan også tenkes å komme til uttrykk internt i en virksomhet for å fremme et fellesskap rundt hvilke verdier som settes i høysetet «her hos oss». Slike kommuniserte intensjoner, kan sees på som virksomhetens forpliktelse. I tillegg til intensjonene fra virksomheten og dens ledelse, vil det også være tilstede en hverdagslig praksis knyttet til både safety- og security-tiltak. Dette handler om hva som gjøres. Det er en antakelse at sammenhengen, eller et eventuelt gap mellom intensjon og praksis vil kunne si noe om security-kulturen i organisasjonen. «Intended versus done» er følgelig en indeks utviklet ved Safetec Nordic som er et forsøk på å operasjonalisere ord og handling rundt safety- og security-arbeidet i en virksomhet.

I denne studien har jeg benyttet meg av to metodiske tilnærminger. En kvantitativ tilnærming ble benyttet for å se om det var en statistisk sammenheng for mellom det som kommuniseres av visjoner, mål og strategier, og det som foregår av faktisk handling. Videre har jeg utført intervjuer med sentrale security-eksperter, samt representanter fra XX. Her har jeg søkt innsikt i hvorfor det kvantitative resultatet viser som det gjør. Jeg søkte også videre forståelse i security-kultur-begrepet, for å få en større forståelse av hvilket fenomen jeg hadde med å gjøre.

Hovedfunn Den kvantitative tilnærmingen viser at intensjoner, visjoner og mål rundt security har en lavere score enn den faktiske etterlevelsen for security. Dette kan sees som følge av lavt engasjement hos ledelsen vedrørende relevansen av security-tiltak, i tillegg til høye krav og fysiske barrierer blant kundene hvor XXs ansatte leverer tjenester. Motsatt resultat gjelder for safety, hvor intensjon er høy og etterlevelse lavere. Det argumenteres at selv om praksisen scorer relativt høyt på security, kan det likevel mangle forståelse for hvorfor tiltakene er tilstede. Det argumenteres videre for at safety-aspektet er mer forståelig, da risikokilden synes å ligge nærmere mennesket enn ved security. Security-kultur kan forstås som de grunnleggende antakelser, ideer og intensjoner som deles blant medlemmer av en organisasjon, som påvirker atferd og som kan ha en påvirkning på security-tilstanden i organisasjonen. Det fremkommer av det empiriske materialet at security-kultur på mange måter er den delen av organisasjonskulturen som virker inn på security-aspektet i en organisasjon. Således betraktes safety- og security-kultur som to sider av samme sak. Dette stilles det spørsmål ved, da security har viktige aspekt ved seg som skiller det fra safety. Blant annet stilles det spørsmål til faktorene informasjonsflyt, og kjennskap til virksomhetens forpliktelse. Det er kanskje ikke ønskelig at alle medlemmer i en organisasjon skal vite alt vedrørende security.

På mange måter er security-kultur alt en organisasjon foretar seg. Dette gjør det kanskje vanskelig å måle kultur. Kultur kan gjerne måles, men det er utfordrende og krever stor grad av kompetanse og innsikt. Det er behov for videre studier innen måling av security-kultur, hvorvidt dette lar seg måle, samt hvilke faktorer som er sentrale innen kartlegging av kultur. Security-begrepet er et nytt og umodent begrep, og det mangler forståelse for hvorfor security-dimensjonen er viktig. Det kan se ut til at det er behov for et kulturbegrep innen security-feltet, da man mangler en bevissthet og forståelse for en rekke tiltak. På en annen side kan det hevdes at kultur i en security-kontekst er problematisk, ettersom det kanskje ikke er ønskelig at flere i en bedrift har høy kunnskap og innsikt i en virksomhets security-strategier. Videre finner jeg at det er behov for en integrert forståelse av security. Det kan synes å være en tendens til et «tunnelsyn», hvor man er opptatt av høy sikkerhet på noen områder, mens andre får lide. Det hevdes at security-bevissthet hos ledelse og sentrale beslutningstakere blir viktig.