SjekkIT - Difi

SjekkIT 

– et verktøy for måling og forbedring 

av sikkerhetskultur og sikkerhet 

Stig.o.johnsen@sintef.no 

SINTEF Teknologi og Samfunn 

Teknologi og samfunn 1

Bakgrunn (og “bias”) 

Seniorforsker SINTEF – sikkerhet (safety and security) : 

Sikkerhetskultur: ( UIC, JBV) & ( Telenor, Statoil/Hydro, NSM) 

Samarbeid med OLF, Ptil – sikkerhet i integrerte operasjoner 

(IT/SAS) & samarbeid om sikkerhet og robusthet - (USA) IFIP 

WG 11.10, National Academy of Sciences – Deepwater Horizon 

PhD innen sikkerhet og robusthet ved NTNU - 2012 

Praksis – teknolog /endringsledelse : 

Teknolog: Siv.Ing & Master - Technology Management – NTNU 

/MiT 

Prosjektleder: Arthur Andersen & Co./Accenture 

IT-sjef/ IT-direktør: Større endringsprosjekter 

Teknologi og samfunn

Posisjon 

Sikkerhetskultur er et viktig perspektiv for å forstå og 

forbedre sikkerheten 

Sikkerhetskultur kan avdekkes (forstås) og forbedres 

- Inspirert av tradisjonen fra E.Schein/MiT (1992) 

Forbedring av sikkerhetskultur krever gode møteplasser 

og prosesser som fokuserer både på struktur og kultur 

- inspirert av norske aksjonsforskere som Klev og Levin (2009) 


Agenda 

1. Teoretisk bakgrunn for SjekkIT 

2. Metoden ”SjekkIT” – hva er det 

3. Hvordan forbedre sikkerheten med ”SjekkIT” 


Sikkerhetskultur – definisjon 

Holdninger, kunnskap og atferd som sier noe om 

hvordan helse, miljø og sikkerhet (HMS) ivaretas. 

‘The safety culture of an organisation is the product of 

individual and group values, attitudes, perceptions, 

competencies and patterns of behaviour that determine 

commitment to, and the style and proficiency of, an 

organisation’s health and safety management’. 

[From Advisory Committee for Safety on Nuclear Installations-93] 


Kultur - en av flere faktorer som 

påvirker HMS 

Struktur 

- Ledelse, organisering 

- Prosesser, rutiner 

Kultur 

- Kunnskap, holdning, 

- Adferd 

HMS 

f.eks IT sikkerhet 

Reduksjon og håndtering 

av uønskede hendelser 

Dvs Kultur må ses i en større sammenheng og flettes sammen med 

andre forhold for å oppnå forbedringer 


Utviklingstrinn - sikkerhetskultur 

Westrum (1991) 

Økt informasjon 

og kunnskap 

Patologisk 

(bli ikke tatt) 

Reaktiv 

Regelorientert 

Vi har regler 

Proaktiv 

Teknologi og samfunn 

Generativ 

Sikkerhet integrert 

Økt tillit

Integrert sikkerhet koster 


8

Endring i perspektiver på styring 

Byråkratisk 

kontroll 

- detaljerte 

instrukser og 

regler 

- tidkrevende og 

lite fleksibelt 

Kulturell kontroll, 

etablere felles verdier og 

mål 

- de riktige aksjonene 

skjer uten detaljstyring 

- Fleksibelt 

- Valg ut fra kunnskap vs 

ideologisk tvangstrøye? 

- Tilpasset 

Nettverksorganisasjoner 


Agenda 





SjekkIT – måle og forbedre 

SjekkIT er laget for å måle og forbedre IT-sikkerhetskultur 

SjekkIT er basert på god praksis og teori bl.a fra Shell - 

”Hearts and mind” 

Verktøyet er tilpasset i samarbeid med Statoil, Hydro, 

NSM, Telenor og JBV – se www.sintef.no/SjekkIT/ 


SjekkIT – tema og prosess 

1. Tema/sjekkliste: Basert på å gjennomgå/diskutere 

sentrale tema fra sikkerhet og sikkerhetskultur 

2. Prosess/søkekonferanser: Etablere en 

forbedringsprosess - basert på erfaringene fra 

aksjonsforskning med involvering av sentrale aktører i 

søkekonferanser 

Målet er å forbedre holdninger, kunnskap og adferd i grupper 

slik at sikkerheten kan forbedres 


Shell “Hearts and Minds” – etter 15 år 

Forbedre både struktur og kultur 

Forbedre sikkerhetskultur – involvering og fokus på 

organisasjonslæring – Ref: (SPE 2002, Hudson et al :”Hearts and Mind”: The status after 15 

years Research”) 

Høy sikkerhetskultur har konsekvenser - Shell valgte å ikke bore etter 

olje i vanskelige felt i Mexicogulfen 

Reduksjon av ulykker og HMS hendelser 

Accidents 

1986 200.. 


BP valgte å bore i Mexicogulfen 

2010 


Eksempler på områder i SjekkIT 

1. Kunnskap og holdninger – eks. Klare og aksepterte mål 

2. Rapporteringskultur & Løpende læring av hendelser 

3. Adferd – sikkerhet ved bruk av fjernarbeid 

4. Policy og ledelse - kommunikasjon, sikkerhet i prosjekter 

5. Spesielle fokusområder/tilleggspørsmål (Vedlegg med 

flere tilleggspørsmål) 


Spesielle fokusområder - tilpassning 

Eksempler: 

1.Informasjonsikkerhet i prosjekter – integrert fra starten eller 

etterpåklokskap? 

2.Informasjonssikkerhet i mobile løsninger / i skyene (cloud 

cumputing)? 

3.Robusthet/resilience – evne til gjenvinning og ivareta 

kritiske funksjoner ved svikt/angrep? – Hollnagel (2006) 


Eksempel på spørsmål 

Hvordan håndteres informasjonssikkerhet i prosjekter?; 

Informasjonssikkerhet er ikke et tema når nye prosjekter 

planlegges. Eventuelle problemer knyttet til informasjonssikkerhet 

blir utsatt til gjennomføringsfasene av prosjekter og løses etter 

hvert. 

Informasjonssikkerhet blir tatt hensyn til i prosjekter, og deltakerne 

er alle autoriserte til å kunne gjøre jobben. Prosjektene skal følge 

etablerte prosedyrer, regler og relevant lovverk. 

Når nye prosjekter planlegges blir informasjonssikkerhet vurdert i 

startfasen. Risiko- og sårbarhetsanalyser gjennomføres og 

informasjonssikkerhet integreres og testes løpende. 

Prosjektgruppene har forståelse for at informasjonssikkerhet er av 

kritisk betydning. 


Liste over spørsmål 


18

Eksempel på skjema (Skala fra 1.. til 5) 

Spørsmål 

Patologisk 

Regelstyrt 

Ideell 


Agenda 





Prosessen og organisering 

Refleksjon og 

læring av 

endringene 

Håndtering - 

Evaluering av tiltak 

Vurdering og 

forslag til tiltak 

(SjekkIT) 

Søkekonferanser 

(1-2 dags samling 

med aktørene) 

Håndtering - 

Sette i verk tiltak 


Håndtering - 

Prioritering og 

planlegging av 

tiltak

Sikkerhet kan forbedres via kultur 

Ref: Antonsen S., Ramstad L. and Kongsvik T., (2007) “Unlocking the organization: Action research as a 

means of improving organizational safety”, Safety Science Monitor, vol. 11(1). 


Involver nettverket 

Virksomhet 

Kunde 

Tjenester 

Oppsplitting 

Underleverandør 

Virksomhet 

Internt Marked 

Kunder 


Virksomhet 



Minimum - bruk av SjekkIT 

½ dag Prosjektdefinisjon og Organisering – 

Fokusområder, deltakere, indikatorer for måling 

½ dag 

Gruppe- 

diskusjon 

Vurdering av sikkerhetskultur/sikkerhet via utfylling av 

spørreskjema og diskusjon i grupper. 

Identifisere tiltak & Enighet om tiltak. 

½ dag Oppfølging av indikatorer og tiltak. 

Endring/utvikling av sikkerhetskultur kan ta lang tid og krever ledelssesfokus 


Bruk av SjekkIT 

SjekkIT som egen separat aktivitet – årlig innsamling av 

data (skjema/ eller web basert – mange muligheter) 

Integrasjon opp mot andre prosesser/aktiviteter 

Risiko og sårbarhetsvurdering (Grovanalyse) eller andre 

forbedringstiltak hvor sjekkIT er integrert 


Fokus på indikatorer 

Måling Forbedringsprosess 

Indikatorer Refleksjon 

Iverksette 

tiltak 

Identifisere indikatorer og sørg for at de kan måles og følges opp 

Arenaer for refleksjon: 

Iverksette tiltak: 


Agenda 





Sikkerhetskultur i fokus 

Sikkerhetskultur er et viktig perspektiv for å forstå og 

forbedre sikkerheten 

Sikkerhetskultur kan avdekkes (forstås) og forbedres 

- Inspirert av tradisjonen fra E.Schein/MiT (1992) 

Forbedring av sikkerhetskultur krever gode møteplasser 

og prosesser som fokuserer både på struktur og kultur 

- inspirert av norske aksjonsforskere Levin (2007) 

SjekkIT kan bidra 


Sikkerhetskultur – uønskede hendelser 

2010 


Spørsmål / Diskusjon 


Referanser 

ACSNI (1993). Advisory Committee on the Safety of Nuclear Installations. Study Group 

on Human Factors, Third Report: “Organising for Safety”. HSMO, London. 

Antonsen S., Ramstad L.R, Kongsvik, T. “Unlocking the Organization: Action Research as 

Means of Improving Organizational Safety” Safety Science Monitor, Issue 1 2007, Article 

4, Vol 11 (tilgjengelig åpent på web) 

Hollnagel, E. Woods D., Leveson N. (2006) “Resilience Enginering” Ashgate 

Hudson, P. and van der Graaf, G. C. (2002). “Hearts and Minds: The status after 15 

years Research.” Society of Petroleum Engineers (SPE 73941) International conference 

on HSE in Oil and Gas Exploration and production. Kuala Lumpur 20-22 March 2002. 

IEC 62443 (2008). “Security for industrial process measurement and control - Network 

and system security”, ISO/IEC 2008. - se også ISA-99.01.01 (etc..) 

Klev, R. and Levin, M. (2009). “Forandring som praksis: Læring og utvikling i organisasjoner” 

Fagbokforlaget. 

Kotter (1996) – “Leading Change” Harvard Business School Press 

Lopez, Wolthusen, and Setola. “Advances in Critical Infrastructure Protection: 

Information Infrastructure Models, Analysis, and Defence”; Volume no. 7130 in 'Lecture 

Notes in Computer Science' Springer-Verlag 


©Stig.o.johnsen@gmail.com

Referanser 

ISO/IEC 27001 (2005). “Information technology -- Security techniques -- Information 

security management systems – Requirements”, ISO. 

Johnsen, S. O., Hansen, C. W., Nordby, Y., Dahl, M. B.; “How to measure and improve 

IT safety and security culture (CheckIT)”, Proceedings from Asia Pacific Conference on 

Risk Management and Safety 2005, ISBN 962-442-279-6, pp. 292-302., ligger ute på 

www.sintef.no/SjekkIT/ 

Johnsen, S.O., Veen, M. (2011). “Risk Assessment and Resilience of Critical 

Communication Infrastructure in Railways”. In Journal of Cognition Technology & Work, 

DOI 10.1007/s10111-011-0187-2. 

Norwegian Petroleum Authority - PSA (2010) http://www.ptil.no/prosessikkerhet/nyrapport-om-sikkerhetssystemers-uavhengighet-article7292-98.html 

NTSB (2005) National Transportation Safety Board (2005). “Safety Study – Supervisory 

Control and Data Acquisition (SCADA)”. Report NTSB/SS-05/02. 

Schein E.H. (1992). “Organisational Culture and Leadership”, Jossey-Bass. 

SafeCulture - UIC & RSSB - www.safeculture.sintef.no 

Westrum R.(1991) “Cultures with requisite imagination”. In J. Wise, P. Stager & J. 

Hopkin (Eds), Verification and validation in complex systems. New York: Springer 


©Stig.o.johnsen@gmail.com

Andre lysark i reserve 


SjekkIT og scenariediskusjon 

1. Relevante scenarier 

2. Beskrivelse 

3. Kritiske hendelser 


Indikatorer fra oljebransjen (Ref PSA/RNNS 2009) 


Risk communication and traffic accidents 

Adams (2005) 

1961 1962 1963 1964 1965 1966 1967 1968 1969 1970 1971 1972 


Proactive indicator 

Proactive Indicator – A simple metric (KPI, signal,..) 

enabling us to act before a situation becomes a 

source of crisis – a risk influencing factor. 

Example : "Low fly the swallows, rain to follow.” 

Proactive Indicators 

Teknologi og samfunn RIO 12.-14.April 2010

(Reported minor) accident rates / 10 5 flight hours 

US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel) 

5 

4,5 

4 

3,5 

3 

2,5 

2 

1,5 

1 

0,5 

0 

United 

airlines 

US airways 

Continental 

Northwest 

Delta 

airlines 

American 

Airlines 

Southwest 

Airlines 

America 

West 

Frontier 

Airlines 

Major Airlines Low Cost 


Jet Blue 

Airlines 

1997 

1998 

1999 

2000 

2001 

2002 

2003 

2004 

2005 

2006

Fatal Accident rates / 10 5 flight hours 

US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel) 

0,18 

0,16 

0,14 

0,12 

0,1 

0,08 

0,06 

0,04 

0,02 

0 

United 

airlines 

US airways 

Continental 

Northwest 

Delta 

airlines 

American 

Airlines 

Southwest 

Airlines 

America 

West 


Frontier 

Airlines 

Major Airlines Low Cost 

Jet Blue 

Airlines 

1997 

1998 

1999 

2000 

2001 

2002 

2003 

2004 

2005 

2006

Generelt – endringer (mindre og større) - 

Følges opp via dobbelkretslæring 

Enkelkretslæring vs Dobbelkretslæring, 

ref: Argyris og Schön (1974) 


Er risikobildet kjent og komplett? 


God “Sikkerhetskultur” gir lavt antall uhell 

og hendelser Itoh og Andersen (2004) : 

Motivasjon og holdninger var nøkkelfaktorer for å forklare 

god sikkerhet (korrelasjon opp mot hendelser og ulykker) 

Korrelasjon med: 

Grundig og god opplæring, 

Ledelsen og deres fokus på sikkerhet 

Enkle og gode prosedyrer og sjekklister utarbeidet I 

samarbeid med ansatte 

Arbeidsbelastning 


Chernobyl, 

1986 

Ulykker – dårlig sikkerhetskultur? 

Piper Alpha, 1988 

Chernobyl 

The accident can be said to 

have flowed from deficient 

safety culture (IAEA 1992: 23) 

Aksept for å avvike fra rutiner og regler 

Tro på at en alltid kan styre teknologien 

Fokus på produksjon vs sikkerhet 

Piper Alpha – 167 døde 

“It is essential to create a (...) culture in which 

safety (...) is accepted as the number one 

priority” (Cullen 1990: 300)

SjekkIT - Difi

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?