Øyemål eller målestokk

Jeg er stor tilhenger av Norsis sitt arbeid, og har benyttet meg av deres foredragsholdere og materiale i en rekke arrangementer de siste ti årene. Jeg har også selv aktivt bidratt, blant annet som sponsor av nasjonal sikkerhetsmåned, som foredragsholder på Norsis arrangementer, og som faglig ressurs i møter og workshops. Jeg tror det et viktig arbeid som gjøres, og syntes det er veldig bra at Norsis kopierte den amerikanske National Cybersecurity Month som første land utenfor USA.

Heri ligger også min utfordring. Jeg tror. Jeg syntes. Men kan jeg si at jeg vet? Kan jeg si noe om at Norsis sitt arbeid faktisk gjør en forskjell? Dette er ikke et en ny problemstilling. Som nevnt i forrige kronikk, var vi en rekke fagspesialister som over flere år utfordret Norsis på dette, og jeg tror flere med meg ble glade når Justisdepartementet i April 2015 tildelte Norsis midler til å måle sikkerhetskulturen i Norge.

Norsis har i sin rapport beskrevet sikkerhetskulturen i Norge, og etter Malmedal sin vurdering har man ikke tolket data i nevneverdig grad - en deskriptiv metode skal være så tett opptil virkeligheten som mulig, og tolkninger skal gjøres i så liten grad som mulig, om jeg forstår det rett. Ofte kan slik beskrivende forskning danne grunnlag for nye spørsmål og hypoteser, og dermed bidra til å bringe forskningen videre. Jeg mener at i så måte har Norsis sin undersøkelse vært en viktig bidragsyter.

Når Norsis går ut i media og hevder at det å måle sikkerhetskultur opp mot en standard ikke vil være praktisk mulig, slik Heie påstår 9. mai og Malmedal gjentar 15. mai, blir det imidlertid galt. Det blir litt som å påstå at det å lage en standard for hastighetsmåling ikke er mulig. Jeg tror vi kan være enige i at man kan debattere hvilke standard for fartsmåling som er best egnet (knop, km/t, m/h, lysets hastighet), men at å hevde at en slik standard er umulig å lage og ikke tjener noe formål, tror jeg vi kan være enige om at bare blir for dumt.

CLTRe har, sammen med våre forskningspartnere, utarbeidet en standard for måling av sikkerhetskultur. Vårt verktøy gir dyp innsikt i en virksomhets sikkerhetskultur, med detaljer ned på avdelingsnivå, og sammenstilling av resultater på tvers av avdelinger og enheter. Denne type verktøy er nyttig for å identifisere hvor i virksomheten man finner svake og sterke kulturer, og gir virksomheten innsikt i hvor det er nyttig å gjennomføre tiltak. Vi mener at en viktig forutsetning for denne type kartlegging er en god metode som gjør oss i stand til å måle de sammen tingene, på samme måte, gang etter gang, slik at resultatene som fremkommer er forutsigbare og sammenlignbare.

I Malmedal sin kronikk 15. mai, påstår han at sikkerhetsopplæring fungerer. Dette er i beste fall en ekstrem forenkling. Forskning har i lang tid vært tydelig på at holdningsskapende arbeid har veldig liten, om noen, sammenheng med endring av adferd. Norsis sin egen rapport konkluderer med det samme: på side 79 sier de selv at det er liten eller ingen korrelasjon mellom sikkerhetsopplæring og endring av sikkerhetsadferd. For å skape litt balanse nevner jeg at man på side 68 i Norsis sin rapport kan lese at det synes å være en sammenheng mellom opplæring og adferd når det kommer til passordbruk.

Konklusjonen bør kanskje derfor være at “noe sikkerhetsopplæring ser ut til å fungere” i stedet for å kjekt å påstå at all opplæring fungerer? Dersom Norsis sin bastante påstand var korrekt, ville det i akademisk perspektiv være en banebrytende nyhet, rett og slett fordi så mye annen forskning, Norsis og vår inkludert, så tydelig viser at det å vite hva som er rett ikke fører til at man gjør det som er rett. Forskere har mottatt Sveriges Riksbanks pris i ekonomisk vetenskap til Alfred Nobels minne for sitt arbeid på dette området.

Utfordringen virksomheter har hatt til nå, er at ingen standard for måling av sikkerhetskultur har vært tilgjengelig.

Malmedal mener videre at det ikke er relevant å snakke om god eller dårlig sikkerhetskultur. La oss anta at dette stemmer. Hva er da poenget med å snakke om sikkerhetskultur i det hele tatt? Hva er poenget med å beskrive en sikkerhetskultur slik Norsis gjør i sin forskning? Om det ikke finnes god eller dårlig sikkerhetskultur, blir det vel heller ikke mulig forbedre (eller forverre) en sikkerhetskultur? Det kan ikke være tvil om at en sikkerhetskultur kan være god eller dårlig, eller kanskje middelmådig. Heie benytter selv begrepet “god sikkerhetskultur” i sin kronikk 9. mai, så her bør kanskje Norsis ta en diskusjon på kammerset og bli enige om hva dere faktisk mener?

Her i Computerworld har Norsis gått hardt ut og påstått at sikkerhetsopplæring virker, mens både rapporten deres, og deres egne salgssider, stiller spørsmålstegn ved om det har effekt i det hele tatt. Jeg siterer fra Sikkert.no (18. mai 2017:

"Selv om det skjer mye godt kunnskaps- og holdningsskapende arbeid innen informasjonssikkerhet i bedriftene, gjøres det lite for å finne ut om det har den effekten en ønsker, eller om det har en effekt i det hele tatt.”

Utfordringen virksomheter har hatt til nå, er at ingen standard for måling av sikkerhetskultur har vært tilgjengelig. Da blir det veldig vanskelig å si noe om kvaliteten på en sikkerhetskultur og effekten av tiltak. Ved å bruke vårt verktøy er våre kunder i stand til mer enn bare å observere sin sikkerhetskultur. De er i stand til å diskutere, på et saklig og velinformert nivå, hvordan de gjør det i forhold til andre. De er i stand til å ta gode beslutninger for å sikre sin virksomhet, sin informasjon og sine ansatte. Og de er i stand til å utveksle erfaringer og relevante måledata slik at de kan lære av hverandre.

Jeg tror nok egentlig vi er enige: det er på tide å rydde opp i uklarhetene og fokusere på hvordan vi alle kan bidra til å skape bedre sikkerhetskultur i Norge. CLTRe sitt bidrag er å skape gode verktøy for å måle effekten av sikkerhetskultur, som våre kunder og forskningspartnere benytter for å kartlegge, analysere, forstå og forbedre sikkerhetskultur.

Vår forskning er tilgjengelig på for gratis nedlasting. 14. juni samler vi sikkerhetskultureksperter fra hele verden til Security Culture Conference for tredje gang. Bli med, da vel!

Kai Roer er sikkerhetsrådgiver, forfatter og medgründer og daglig leder i sikkerhetsselskapet CLTRe.