Hva er kompetanse- og kulturutvikling?

Alle virksomheter har noen mål de skal nå og noen oppgaver som skal utføres for å nå disse målene. For å kunne realisere målene, vil det være nødvendig å sikre at alle ansatte har tilstrekkelig kunnskap for å kunne utføre sine arbeidsoppgaver på en god måte. Dette inkluderer kunnskap om informasjonssikkerhet.

Den enkeltes kunnskap, adferd og holdninger er en del av organisasjonens kultur.  Den enkeltes kunnskap, adferd og holdninger til informasjonssikkerhet vil være en del av dette – en del av virksomhetens sikkerhetskultur.

Den enkeltes kompetanse og virksomhetens organisasjonskultur vil utvikles kontinuerlig. Dette skjer naturlig i dialog og gjennom samarbeid med andre, men det vil også være behov for konkrete tiltak for å heve kompetansen og utvikle organisasjonskulturen i riktig retning. For å sikre tilstrekkelig kompetanse, vil de fleste virksomheter ha behov for opplæringstiltak. Opplæring skal bidra til å

  • heve kunnskapsnivået
  • bevisstgjøre de ansatte
  • trene ferdigheter
  • utvikle organisasjonens kultur

Hvilke av disse fire områdene man fokuserer på vil variere ut fra organisasjonens behov, og alle områdene dekkes ikke nødvendigvis av samme opplæringstiltak.

Figuren viser at organisasjonens kultur påvirkes av den enkeltes kunnskap, bevissthet og ferdigheter. Kunnskap viser til hva den enkelte kan, bevisstgjøring innebærer at man forstår hvorfor og ferdigheter innebærer at man vet hvordan.
 

Figuren viser at organisasjonens kultur påvirkes av den enkeltes kunnskap, bevissthet og ferdigheter. Kunnskap viser til hva den enkelte kan, bevisstgjøring innebærer at man forstår hvorfor og ferdigheter innebærer at man vet hvordan. Sammen med de ansattes holdninger utgjør dette organisasjonens kultur.

1.1. Kunnskap

Alle ansatte må ha tilstrekkelig kunnskap for å kunne utføre sine arbeidsoppgaver på en god måte. Dette inkluderer kunnskap om informasjonssikkerhet.

En utfordring er å identifisere hva den enkelte faktisk bør eller må vite. Behovet for kunnskap vil variere utfra vedkommendes arbeidsoppgaver og rolle i organisasjonen. Det er noe kunnskap den enkelte bør ha under huden og noe det holder å kunne slå opp ved behov.  

1.2. Bevisstgjøring

Selv om man har kunnskap, betyr ikke det at den enkeltes adferd er i samsvar med kunnskapen. Det er ofte nødvendig med bevisstgjøring i tillegg.  

Bevisstgjøring innebærer å bli klar over hvorfor man skal handle på en bestemt måte. Man går inn i retningslinjer, krav og rutiner for å forstå hvorfor de er som de er. Videre er det sentralt å se på hva som er den enkeltes bidrag og betydning i etterlevelsen, og hvilke konsekvenser det vil få dersom regler ikke blir fulgt. Bevisstgjøring er derfor viktig for å sikre etterlevelse av pålegg.

Bevisstgjøring er også viktig for å skape refleksjon. Denne refleksjonen fører til at ansatte tenker over hvilke deler av sikkerhetsarbeidet som fungerer etter hensikten, hvilke områder organisasjonen bør se nærmere på og hvor de eventuelt må endre praksis. Dette gjør at de ansatte forstår at de spiller en viktig rolle i utviklingen av organisasjonskulturen. Bevisstgjøring er derfor sentralt i arbeidet med utvikling av en god sikkerhetskultur.

1.3. Ferdigheter

Selv om en ansatt vet hva og hvorfor (kunnskap og bevisstgjøring) er det de praktiske handlingene, dvs. den enkeltes adferd, som avgjør resultatene. Det er derfor i de fleste sammenhenger viktig å trene på praktiske ferdigheter. Dette kan gjøres på mange måter.

Den enkelte virksomhet må vurdere hvilke ansatte som trenger ferdighetstrening på hvilke områder. For mer informasjon om hvordan opplæring kan gjennomføres i virksomheten, se kapittel 3.  

1.4. Kulturutvikling

Alle virksomheter har en organisasjonskultur. Dette er et sett med «felles verdier, normer og virkelighetsoppfatninger som utvikler seg i en organisasjon når medlemmene samhandler med hverandre og omgivelsene» [1]. Organisasjonskultur er forenklet sagt en felles oppfatning i virksomheten - «slik gjør vi det hos oss».

Sikkerhetskulturen er en del av organisasjonskulturen, og handler derfor om hvilke verdier og normer som ligger til grunn for den enkeltes valg for håndtering av informasjon og systemer. Sikkerhetskultur er dermed den felles oppfattelsen i virksomheten som har positive eller negative konsekvenser for sikkerheten.

Kjernen i utviklingen av en sikkerhetskultur er:

  • Hva – vite hva en skal gjøre i ulike situasjoner
  • Hvorfor – forstå hvorfor
  • Hvordan – ha tilstrekkelige ferdigheter til å kunne handle deretter
  • Holdning – ta risiko og sikkerhetskrav på alvor, og handle i samsvar med dem

Kulturutvikling er en kontinuerlig prosess. Ledere må ta stilling til om organisasjonen har en velfungerende sikkerhetskultur som skal opprettholdes og forsterkes, eller om det er behov for å endre på den eksisterende kulturen. Små feil, misforståelser og manglende kunnskap og ferdigheter kan korrigeres gjennom opplæring og veiledning, mens endring av kultur er en lengre og tyngre prosess. Endringer kan være nødvendig fordi kulturen ikke er god, eller fordi kravene til virksomheten har endret seg. Det kan også være subkulturer innen organisasjonen som det er nødvendig å ta tak i og utvikle for å sørge for at organisasjonen har en enhetlig sikkerhetskultur. For at kulturen skal være velfungerende og la seg opprettholde, er det også viktig at rutiner og prosesser støtter opp under effektive samarbeidsformer, og ikke oppleves som en hindring i arbeidet.

I holdnings- og kulturutvikling er bevisstgjøring og refleksjon viktige redskap. Den enkelte må være bevisst hvorfor man skal handle på en viss måte, og så reflektere over egne valg og kravenes hensiktsmessighet. Refleksjonen må foregå både individuelt og kollektivt. For å få til kollektiv refleksjon er tillit helt sentral. Det må være lov å tenke høyt uten å ha alle svarene i et miljø som verdsetter gode diskusjoner. Har man ikke dette, skapes ikke tilliten som er nødvendig for å utvikle organisasjonens kultur i riktig retning. Tillit er derfor avgjørende i arbeidet med å bygge en god sikkerhetskultur.

Målet er å ha en kultur der de ansatte utfører sine oppgaver i tråd med policyer og retningslinjer, og er bevisst hvorfor de skal handle som de gjør, reflekterer over egne valg, og diskuterer holdninger og adferd. Samtidig skal handlinger, refleksjon og dialog føre til at virksomheten endrer policyer og retningslinjer som ikke er hensiktsmessige. Slik videreutvikles adferd: alle går i samme retning samtidig som refleksjon og dialog fører til nødvendige endringer i virksomheten.  

Husk:

  • Kun ved å skape et miljø der man kan diskutere rammer, regler og føringer som ligger rundt oss, vil vi kunne skape en god sikkerhetskultur og utvikle organisasjonen videre på dette området. Det er derfor viktig å legge til rette for diskusjoner om sikkerhetsarbeid, krav, føringer etc.
  • Sørg for at dere har en prosess for å håndtere alle sikkerhetshendelser og andre sikkerhetsrelaterte tilbakemeldinger som rapporteres fra ansatte. Uten oppfølging skapes det inntrykk av at regler og policyer ikke betyr noe og ikke behøver å følges, eller at tilbakemeldinger ikke tas alvorlig. Da utvikles en negativ sikkerhetskultur.
  • Selv om virksomheten ikke har utfordringer med manglende kompetanse eller en dårlig sikkerhetskultur, er det nødvendig å arbeide kontinuerlig for å opprettholde eksisterende nivå.

Fortsett veilederen
Kapittel 2

 

[1] Henning Bang, Organisasjonskultur, 3. utgave, 2011.

Publisert: 15. jun 2015, Sist endret: 11. mar 2016

Fant du det du lette etter?

* er obligatoriske felter som du må fylle ut for å sende skjemaet. Hvis du har et spørsmål du ønsker svar på, vennligst se www.difi.no/om-difi/kontakt-oss

Fant du det du lette etter?
*