Mang en gang hører man IT avdelingen og andre innen sikkerhet beklager seg over at ledelsen ikke “bryr” seg om den digitale sikkerheten. Påstanden er typisk “at de forstår ikke”, eller “IT avdelingen fikser det”. Mange er frustrerte fordi de ønsker mer forståelse og fokus fra toppen.
Noen slutter til og med i jobbene sine fordi de ikke ønsker å jobbe et sted der fokus på IT sikkerhet nærmest er fraværende hos ledelsen. Dette har allerede skjedd flere ganger, og vil skje igjen. Mennesker som er lidenskapelig opptatt av sikkerhet, eller i hvert fall over middelse interessert, blir frustrert når de føler at de ikke kommer noen vei.
Jeg har i dag snakket med en som faktisk sa opp nettopp av disse grunner, noe som skapte oppmerksomhet og dermed litt forbedring, noe som resulterte i at vedkommende valgte å fortsette på samme sted. Men det er fortsatt litt misnøye.
Bruk HR avdelingen for å nå ledelsen
Alle virksomheter skal og/eller bør ha regelmessige medarbeidersamtaler, tilfredsundersøkelser og andre undersøkelser som har til hensikt å måle temperaturen blant de ansatte. Ingen organisasjoner er like, der noen er store, kompliserte og byråkratiske, mens andre er mindre og forhåpentligvis enklere, men det kan være vanskelig i de mindre også.
Er du misfornøyd på jobben, må jo dette være stedet å ta opp disse tingene. Da blir det “dokumentert”, og noen må jo presentere dette til ledelsen. Å miste de mest engasjerte sikkerhetsmenneskene håper og tror jeg at ingen ledelse ønsker seg, og dermed burde man få oppmerksomhet.
Veien videre kan være forskjellige retninger, men la oss håpe det skaper en mer ydmyk ledelse som vil lytte og lære, og forstå at ansvaret naturligvis ligger hos dem, bare at de faktisk ikke helt har sett sammenhengen.
Vedkommende jeg snakket med i dag takket for HR tipset og syntes det var et godt forslag.
Kan tillitsvalgt bidra?
For de steder der det eksisterer en tillitsvalgt kan det hende at dette kan gjøre noe av den samme nytten, men samtidig tenker jeg at om det eksisterer misnøye, som påvirker hvordan man trives på jobb, tenker jeg det er HR/personalavdelinegn som burde få dette. Å ta opp med den tillitsvalgte kan gjerne være positivt i parallell.
Meld det i tillegg som et avvik
Alle virksomheter med respekt for seg selv har et avvikssystem. Dette er gjerne koblet til HMS, men er minst like relevant og gyldig innen digital sikkerhet. Om ledelsen ikke viser ansvar vil dette være et klart avvik fra god praksis innen ISMS og lignende, og bør derfor meldes som et avvik.
Om man skal jobbe etter ISO 27001 eller ei, er første del av anbefalt sikkerhet at en sikkerhetsorganisasjon er på plass, der ledelsen har en sentral plass. Nå sier jeg ikke at alle skal etablere en sikkerhetsorganisasjon, men mer poengtere at ledelsen alltid har ansvaret og at det derfor må meldes avvik dersom dette ikke er tilfelle der du jobber.
Leave a Reply