Hva er kompetanse- og kulturutvikling?

Alle virksomheter har mål de skal nå og oppgaver som skal utføres for å nå disse målene. For å kunne realisere målene, vil det være nødvendig å sikre at alle ansatte har tilstrekkelig kunnskap for å kunne utføre sine arbeidsoppgaver på en god måte. Dette inkluderer kunnskap om informasjonssikkerhet.

Publisert: 15. jun 2015, Sist endret: 28. aug 2018

Den enkeltes kunnskap, adferd og holdninger er en del av organisasjonens kultur. Den enkeltes kunnskap, adferd og holdninger til informasjonssikkerhet vil være en del av dette – en del av virksomhetens sikkerhetskultur.

Kompetansen den enkelte har og virksomhetens organisasjonskultur vil utvikles kontinuerlig. Dette skjer naturlig i dialog og samhandling med andre. Samtidig vil det også være behov for konkrete tiltak for å heve kompetansen og utvikle organisasjonskulturen i riktig retning. For å sikre tilstrekkelig kompetanse, vil de fleste virksomheter ha behov for opplæringstiltak. Opplæring kan bidra til å

  • heve kunnskapsnivået
  • bevisstgjøre de ansatte
  • trene ferdigheter
  • utvikle organisasjonens kultur

Organisasjonens behov avgjør hva opplæringen bør fokusere på. Alle områdene dekkes ikke nødvendigvis av samme opplæringstiltak.

Figuren viser at organisasjonens kultur påvirkes av den enkeltes kunnskap, bevissthet og ferdigheter. Kunnskap viser til hva den enkelte kan, bevisstgjøring innebærer at man forstår hvorfor og ferdigheter innebærer at man vet hvordan.
 

Figuren viser at organisasjonens kultur påvirkes av den enkeltes kunnskap, bevissthet og ferdigheter. Kunnskap viser til hva den enkelte kan, bevisstgjøring innebærer at man forstår hvorfor og ferdigheter innebærer at man vet hvordan. Sammen med de ansattes holdninger utgjør dette organisasjonens kultur.

1.1 Kunnskap

Alle ansatte må ha tilstrekkelig kunnskap for å kunne utføre sine arbeidsoppgaver på en god måte. Dette inkluderer kunnskap om informasjonssikkerhet.

En utfordring er å identifisere hva den enkelte faktisk bør eller må vite. Behovet for kunnskap vil variere utfra den ansattes arbeidsoppgaver og rolle i organisasjonen. Det er noe kunnskap den enkelte bør ha under huden (taus kunnskap) og noe det holder å kunne slå opp ved behov.  

1.2 Bevisstgjøring

Selv om man har kunnskap, betyr ikke det at den enkeltes adferd er i samsvar med kunnskapen. Det er ofte nødvendig med bevisstgjøring i tillegg.  

Bevisstgjøring innebærer å bli klar over hvorfor man skal handle på en bestemt måte. Man går inn i retningslinjer, krav og rutiner for å forstå hvorfor de er som de er. Videre ser man på den enkeltes bidrag og betydning i etterlevelsen av krav, og hvilke konsekvenser det vil få dersom regler ikke blir fulgt. Bevisstgjøring er derfor viktig for å sikre etterlevelse av pålegg.

Bevisstgjøring er også viktig for å skape refleksjon. Denne refleksjonen fører til at ansatte tenker over hvilke deler av sikkerhetsarbeidet som fungerer etter hensikten, hvilke områder organisasjonen bør se nærmere på og hvor de eventuelt må endre praksis. Dette gjør at de ansatte forstår at de spiller en viktig rolle i utviklingen av organisasjonskulturen. Bevisstgjøring er derfor sentralt i arbeidet med utvikling av en god sikkerhetskultur.

1.3 Ferdigheter

Selv om en ansatt vet hva og hvorfor (kunnskap og bevisstgjøring) er det de praktiske handlingene, dvs. den enkeltes adferd, som avgjør resultatene. Det er derfor i de fleste sammenhenger viktig å trene på praktiske ferdigheter. Dette kan gjøres på mange måter, og omfanget av trening kan variere. Det kan være alt fra små øvelser hver enkelt kan gjøre i hverdagen, til større øvelser for hele seksjoner eller avdelinger.

Den enkelte virksomhet må vurdere hvilke ansatte som trenger ferdighetstrening på hvilke områder. For mer informasjon om hvordan opplæring kan gjennomføres i virksomheten, se kapittel 3.  

1.4 Kulturutvikling

Alle virksomheter har en organisasjonskultur. Dette er et sett med «felles verdier, normer og virkelighetsoppfatninger som utvikler seg i en organisasjon når medlemmene samhandler med hverandre og omgivelsene». [1]. Organisasjonskultur er forenklet sagt en felles oppfatning i virksomheten - «slik gjør vi det hos oss».

Sikkerhetskulturen er en del av organisasjonskulturen, og handler derfor om hvilke verdier og normer som ligger til grunn for den enkeltes valg for håndtering av informasjon og systemer. Sikkerhetskultur er dermed den felles oppfattelsen i virksomheten som har positive eller negative konsekvenser for sikkerheten.

Kjernen i utviklingen av en sikkerhetskultur er:

  • Hva – vite hva en skal gjøre i ulike situasjoner
  • Hvorfor – forstå hvorfor
  • Hvordan – ha tilstrekkelige ferdigheter til å kunne handle deretter
  • Holdning – ta risiko og sikkerhetskrav på alvor, og handle i samsvar med dem

Kulturutvikling er en kontinuerlig prosess. Ledere må ta stilling til om organisasjonen har en velfungerende sikkerhetskultur som skal opprettholdes og forsterkes, eller om det er behov for å endre på den eksisterende kulturen. Små feil, misforståelser og manglende kunnskap og ferdigheter kan korrigeres gjennom opplæring og veiledning, mens endring av kultur er en lengre og tyngre prosess. Endringer kan være nødvendig fordi kulturen ikke er god, eller fordi kravene til virksomheten har endret seg. Det kan også være subkulturer innen organisasjonen som det er nødvendig å ta tak i og utvikle, for å sørge for at organisasjonen har en enhetlig sikkerhetskultur. For at kulturen skal være velfungerende og la seg opprettholde, er det også viktig at rutiner og prosesser støtter opp under effektive samarbeidsformer, og ikke oppleves som en hindring i arbeidet.

I holdnings- og kulturutvikling er bevisstgjøring og refleksjon viktige redskap. Den enkelte må være bevisst hvorfor man skal handle på en viss måte, og så reflektere over egne valg og kravenes hensiktsmessighet. Refleksjonen må foregå både individuelt og kollektivt. Tillit er sentralt for å oppnå kollektiv refleksjon. Det må være lov å tenke høyt uten å ha alle svarene, og man må ha et miljø som verdsetter gode diskusjoner. Har man ikke dette, skapes ikke tilliten som er nødvendig for å utvikle organisasjonens kultur i riktig retning. Tillit er derfor avgjørende i arbeidet med å bygge en god sikkerhetskultur.

Målet er å ha en kultur der de ansatte utfører sine oppgaver i tråd med policyer og retningslinjer, og er bevisst hvorfor de skal handle som de gjør, reflekterer over egne valg, og diskuterer holdninger og adferd. Samtidig skal handlinger, refleksjon og dialog føre til at virksomheten endrer policyer og retningslinjer som ikke er hensiktsmessige. Slik videreutvikles adferd: alle går i samme retning samtidig som refleksjon og dialog fører til nødvendige endringer i virksomheten.   

Husk:

  • Kun ved å skape et miljø der man kan diskutere rammer, føringer og regler som ligger rundt oss, vil vi kunne skape en god sikkerhetskultur og utvikle organisasjonen videre på dette området. Det er derfor viktig å legge til rette for diskusjoner om sikkerhetsarbeid, krav, føringer etc.
  • Sørg for at dere har en prosess for å håndtere alle sikkerhetshendelser og andre sikkerhetsrelaterte tilbakemeldinger som rapporteres fra ansatte. Uten oppfølging skapes det inntrykk av at regler og policyer ikke betyr noe og ikke behøver å følges, eller at tilbakemeldinger ikke tas alvorlig. Da utvikles en negativ sikkerhetskultur.
  • Selv om virksomheten ikke har utfordringer med manglende kompetanse eller en dårlig sikkerhetskultur, er det nødvendig å arbeide kontinuerlig for å opprettholde eksisterende nivå.

 

[1] Henning Bang, Organisasjonskultur, 3. utgave, 2011.

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

* Påkrevd

Hjelp oss å bli bedre
*