Ledelse
Dine ansatte kan være en sikkerhetstrussel
En ansatt kan utgjøre en sikkerhetstrussel, både før, under og etter ansettelsesforholdet. Men dersom du identifiserer de kritiske stillingene og er grundig i rekrutteringsprosessen, kan du redusere trusselen.
Det internasjonale trusselbildet endrer seg både i omfang og kompleksitet, og ifølge PSTs Trusselvurdering 2017 er teknologi og spionasje noen av årets viktigste trusler. Dette gjør noe med sikkerhetsbildet i næringslivet.
– Vi må beskytte våre ansatte, miljø, teknologi, fysisk eiendom, informasjon, prosesser og omdømme mot trusler. Da gjelder det å vite også hva den menneskelige sikkerhetsrisikoen er, og hvordan man kan redusere den, sier Ingrid Hellevik, sikkerhetssjef i oljeselskapet Eni Norge.
Risikoløpet
Eni Norge har et innarbeidet system for å kartlegge og ta høyde for sikkerhetsrisiko. HR-avdelingen er involvert i alt som skjer av rekruttering, og de har standardiserte rekrutteringsprosesser hvor de bruker ulike verktøy for verifisering. De sjekker dokumentasjon og identiteten til alle søkerne, og gjennomfører bakgrunnssjekk av samtlige ansatte.
Hellevik forklarer at det finnes potensielle sikkerhetstrusler i alle HR-prosessene som gjelder et ansettelsesforhold – både i rekrutteringsfasen, under ansettelsen og etter endt ansettelsesforhold.
Sikkerhetsrisiko ved rekruttering
Dokumentforfalskning skjer i større og mer omfattende grad i dag enn før. Man kan i utgangspunktet «bestille seg en mastergrad» på ti minutter på internett.
– Det finnes litt for mange eksempler på at CV-en ikke stemmer. Folk gjør dette av ren desperasjon. Det kan være dårlige intensjoner, men som oftest er det mangel på kvalifikasjoner som gjør at de jukser. Det må derfor gjøres en bakgrunnssjekk for å dokumentere og verifisere informasjon. Man vil være sikker på at man får inn personer som er det de utgir seg for å være, og som har den kompetansen man trenger til stillingene, sier Hellevik.
En bakgrunnssjekk går ut på å hente inn, sammenligne og dokumentere informasjon for å bekrefte eller avkrefte innholdet, og kommer i tillegg til andre viktige momenter i en rekrutteringsprosess, som referanser, fagoppgaver og evnetester.
– Den største risikoen er å få inn personer som ikke er det de har utgitt seg for å være. Det kan skade ansatte, organisasjonen, utstyr, omdømmet og finansene. Dokumentforfalskning er dessuten ulovlig. Jukser du på CV-en har du allerede brutt én barriere. Da er terskelen kanskje lavere for å ta andre snarveier også, mener Hellevik.
Det gjelder å oppdage den ansattes frustrasjon før det går ut over noe annet
Rekrutteringsprosessen er forebyggende. En grundig rekrutteringsprosess og bakgrunnssjekk reduserer risikoen for å ansette folk som kan representere en sikkerhetsrisiko, sier Hellevik, som presiserer at man må ha samtykke fra den det er snakk om for å gjennomføre en bakgrunnssjekk. Det skal informeres om hvem som sjekker, hvordan informasjonen blir oppbevart og hvilke kilder man bruker.
Den risikable ansatte
Etter at en person har begynt å jobbe i en virksomhet, er det mye som kan skje. Det kan være snakk om alt fra tyveri og fysisk sabotasje, til korrupsjon og lekking av bedriftssensitiv informasjon, som for eksempel strategi, teknologi, informasjon om handel eller informasjon om ansatte som kan brukes til utpressing, forklarer Hellevik.
En undersøkelse gjennomført av den britiske offentlige sikkerhetsinstansen CPNI viste at 76 prosent av all innsideaktivitet er egenmotivert, og i hovedsak økonomisk motivert. 47 prosent av kriminaliteten skjer med mål om egen, finansiell vinning.
De kritiske stillingene
Hellevik forteller at det gjelder å bygge opp barrierer for å hindre at sikkerhetstruslene blir til realitet. En av dem er å identifisere utsatte stillinger.
– Vi gjør en kartlegging av hva som er kritiske stillinger. Det kan være stillinger der man håndterer store summer, er ansvarlig for innkjøp, har tilgang på mange datasystemer, eller toppleder-stillinger. For disse stillingene er bakgrunnssjekken mer omfattende, sier Hellevik.
Det finnes litt for mange eksempler på at CV-en ikke stemmer
Hun legger til at det også er viktig med opplæring av personer i disse stillingene. De må læres opp og bevisstgjøres på risikoen som ligger der, og deretter følges opp jevnlig, sier hun.
– Man må følge opp ansatte, og legge merke til endringer i blant annet atferd og prestasjoner. Der kan være både private forhold og bedriftsrelaterte ting som gjør utslaget. I det hele tatt gjelder det å oppdage den ansattes frustrasjon før det går ut over noe annet.
Slutten: begynnelsen på en ny risiko
Selv om arbeidsforholdet er over, betyr det ikke at sikkerhetsrisikoen er over. 59 prosent av ansatte som forlater en virksomhet tar med seg sensitiv informasjon uten å engang vite om det, viste en undersøkelse gjort av Deloitte i 2016.
– Noe av det kan avverges, som digital informasjon på datamaskin og telefon, mens andre ting bare har man i hukommelsen. Men taushetserklæringen gjelder fortsatt, selv om informasjonen sitter i hodet, påpeker Hellevik.
Når man først er ute, så er det begrenset hvilken informasjon man har tilgang til, men lojalitetsbåndet kan ha blitt strukket litt. Dersom avslutningsprosessen ikke gikk helt som den skulle, kan man risikere at den tidligere ansatte vil hevne seg, eller at han eller hun vil bruke bedriftssensitiv informasjon som et konkurransefortrinn for å skaffe seg ny jobb.
– Man må være profesjonell i avslutningen, og planlegge prosessen godt. Det er viktig å minne om taushetserklæringen og fortelle om konsekvenser som kan oppstå selv om personen ikke jobber der lenger. Det er også viktig å gi informasjon om hva som skjer videre, og gi personen mulighet til å gi feedback på hele avslutningsprosessen. Avslutningen er nesten like viktig som ansettelsen, og man bør gi den ansatte en like god slutt som start, da tidligere ansatte er viktige ambassadører for selskapet.
