SjekkIT - Difi
SjekkIT - Difi
SjekkIT - Difi
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>SjekkIT</strong><br />
– et verktøy for måling og forbedring<br />
av sikkerhetskultur og sikkerhet<br />
Stig.o.johnsen@sintef.no<br />
SINTEF Teknologi og Samfunn<br />
Teknologi og samfunn 1
Bakgrunn (og “bias”)<br />
Seniorforsker SINTEF – sikkerhet (safety and security) :<br />
Sikkerhetskultur: ( UIC, JBV) & ( Telenor, Statoil/Hydro, NSM)<br />
Samarbeid med OLF, Ptil – sikkerhet i integrerte operasjoner<br />
(IT/SAS) & samarbeid om sikkerhet og robusthet - (USA) IFIP<br />
WG 11.10, National Academy of Sciences – Deepwater Horizon<br />
PhD innen sikkerhet og robusthet ved NTNU - 2012<br />
Praksis – teknolog /endringsledelse :<br />
Teknolog: Siv.Ing & Master - Technology Management – NTNU<br />
/MiT<br />
Prosjektleder: Arthur Andersen & Co./Accenture<br />
IT-sjef/ IT-direktør: Større endringsprosjekter<br />
Teknologi og samfunn
Posisjon<br />
Sikkerhetskultur er et viktig perspektiv for å forstå og<br />
forbedre sikkerheten<br />
Sikkerhetskultur kan avdekkes (forstås) og forbedres<br />
- Inspirert av tradisjonen fra E.Schein/MiT (1992)<br />
Forbedring av sikkerhetskultur krever gode møteplasser<br />
og prosesser som fokuserer både på struktur og kultur<br />
- inspirert av norske aksjonsforskere som Klev og Levin (2009)<br />
Teknologi og samfunn 3
Agenda<br />
1. Teoretisk bakgrunn for <strong>SjekkIT</strong><br />
2. Metoden ”<strong>SjekkIT</strong>” – hva er det<br />
3. Hvordan forbedre sikkerheten med ”<strong>SjekkIT</strong>”<br />
Teknologi og samfunn 4
Sikkerhetskultur – definisjon<br />
Holdninger, kunnskap og atferd som sier noe om<br />
hvordan helse, miljø og sikkerhet (HMS) ivaretas.<br />
‘The safety culture of an organisation is the product of<br />
individual and group values, attitudes, perceptions,<br />
competencies and patterns of behaviour that determine<br />
commitment to, and the style and proficiency of, an<br />
organisation’s health and safety management’.<br />
[From Advisory Committee for Safety on Nuclear Installations-93]<br />
Teknologi og samfunn 5
Kultur - en av flere faktorer som<br />
påvirker HMS<br />
Struktur<br />
- Ledelse, organisering<br />
- Prosesser, rutiner<br />
Kultur<br />
- Kunnskap, holdning,<br />
- Adferd<br />
HMS<br />
f.eks IT sikkerhet<br />
Reduksjon og håndtering<br />
av uønskede hendelser<br />
Dvs Kultur må ses i en større sammenheng og flettes sammen med<br />
andre forhold for å oppnå forbedringer<br />
Teknologi og samfunn 6
Utviklingstrinn - sikkerhetskultur<br />
Westrum (1991)<br />
Økt informasjon<br />
og kunnskap<br />
Patologisk<br />
(bli ikke tatt)<br />
Reaktiv<br />
Regelorientert<br />
Vi har regler<br />
Proaktiv<br />
Teknologi og samfunn<br />
Generativ<br />
Sikkerhet integrert<br />
Økt tillit
Integrert sikkerhet koster<br />
Teknologi og samfunn<br />
8
Endring i perspektiver på styring<br />
Byråkratisk<br />
kontroll<br />
- detaljerte<br />
instrukser og<br />
regler<br />
- tidkrevende og<br />
lite fleksibelt<br />
Kulturell kontroll,<br />
etablere felles verdier og<br />
mål<br />
- de riktige aksjonene<br />
skjer uten detaljstyring<br />
- Fleksibelt<br />
- Valg ut fra kunnskap vs<br />
ideologisk tvangstrøye?<br />
- Tilpasset<br />
Nettverksorganisasjoner<br />
Teknologi og samfunn 9
Agenda<br />
1. Teoretisk bakgrunn for <strong>SjekkIT</strong><br />
2. Metoden ”<strong>SjekkIT</strong>” – hva er det<br />
3. Hvordan forbedre sikkerheten med ”<strong>SjekkIT</strong>”<br />
Teknologi og samfunn 10
<strong>SjekkIT</strong> – måle og forbedre<br />
<strong>SjekkIT</strong> er laget for å måle og forbedre IT-sikkerhetskultur<br />
<strong>SjekkIT</strong> er basert på god praksis og teori bl.a fra Shell -<br />
”Hearts and mind”<br />
Verktøyet er tilpasset i samarbeid med Statoil, Hydro,<br />
NSM, Telenor og JBV – se www.sintef.no/<strong>SjekkIT</strong>/<br />
Teknologi og samfunn 11
<strong>SjekkIT</strong> – tema og prosess<br />
1. Tema/sjekkliste: Basert på å gjennomgå/diskutere<br />
sentrale tema fra sikkerhet og sikkerhetskultur<br />
2. Prosess/søkekonferanser: Etablere en<br />
forbedringsprosess - basert på erfaringene fra<br />
aksjonsforskning med involvering av sentrale aktører i<br />
søkekonferanser<br />
Målet er å forbedre holdninger, kunnskap og adferd i grupper<br />
slik at sikkerheten kan forbedres<br />
Teknologi og samfunn 12
Shell “Hearts and Minds” – etter 15 år<br />
Forbedre både struktur og kultur<br />
Forbedre sikkerhetskultur – involvering og fokus på<br />
organisasjonslæring – Ref: (SPE 2002, Hudson et al :”Hearts and Mind”: The status after 15<br />
years Research”)<br />
Høy sikkerhetskultur har konsekvenser - Shell valgte å ikke bore etter<br />
olje i vanskelige felt i Mexicogulfen<br />
Reduksjon av ulykker og HMS hendelser<br />
Accidents<br />
1986 200..<br />
Teknologi og samfunn
BP valgte å bore i Mexicogulfen<br />
2010<br />
Teknologi og samfunn
Eksempler på områder i <strong>SjekkIT</strong><br />
1. Kunnskap og holdninger – eks. Klare og aksepterte mål<br />
2. Rapporteringskultur & Løpende læring av hendelser<br />
3. Adferd – sikkerhet ved bruk av fjernarbeid<br />
4. Policy og ledelse - kommunikasjon, sikkerhet i prosjekter<br />
5. Spesielle fokusområder/tilleggspørsmål (Vedlegg med<br />
flere tilleggspørsmål)<br />
Teknologi og samfunn 15
Spesielle fokusområder - tilpassning<br />
Eksempler:<br />
1.Informasjonsikkerhet i prosjekter – integrert fra starten eller<br />
etterpåklokskap?<br />
2.Informasjonssikkerhet i mobile løsninger / i skyene (cloud<br />
cumputing)?<br />
3.Robusthet/resilience – evne til gjenvinning og ivareta<br />
kritiske funksjoner ved svikt/angrep? – Hollnagel (2006)<br />
Teknologi og samfunn 16
Eksempel på spørsmål<br />
Hvordan håndteres informasjonssikkerhet i prosjekter?;<br />
Informasjonssikkerhet er ikke et tema når nye prosjekter<br />
planlegges. Eventuelle problemer knyttet til informasjonssikkerhet<br />
blir utsatt til gjennomføringsfasene av prosjekter og løses etter<br />
hvert.<br />
Informasjonssikkerhet blir tatt hensyn til i prosjekter, og deltakerne<br />
er alle autoriserte til å kunne gjøre jobben. Prosjektene skal følge<br />
etablerte prosedyrer, regler og relevant lovverk.<br />
Når nye prosjekter planlegges blir informasjonssikkerhet vurdert i<br />
startfasen. Risiko- og sårbarhetsanalyser gjennomføres og<br />
informasjonssikkerhet integreres og testes løpende.<br />
Prosjektgruppene har forståelse for at informasjonssikkerhet er av<br />
kritisk betydning.<br />
Teknologi og samfunn 17
Liste over spørsmål<br />
Teknologi og samfunn<br />
18
Eksempel på skjema (Skala fra 1.. til 5)<br />
Spørsmål<br />
Patologisk<br />
Regelstyrt<br />
Ideell<br />
Teknologi og samfunn 19
Agenda<br />
1. Teoretisk bakgrunn for <strong>SjekkIT</strong><br />
2. Metoden ”<strong>SjekkIT</strong>” – hva er det<br />
3. Hvordan forbedre sikkerheten med ”<strong>SjekkIT</strong>”<br />
Teknologi og samfunn 20
Prosessen og organisering<br />
Refleksjon og<br />
læring av<br />
endringene<br />
Håndtering -<br />
Evaluering av tiltak<br />
Vurdering og<br />
forslag til tiltak<br />
(<strong>SjekkIT</strong>)<br />
Søkekonferanser<br />
(1-2 dags samling<br />
med aktørene)<br />
Håndtering -<br />
Sette i verk tiltak<br />
Teknologi og samfunn<br />
Håndtering -<br />
Prioritering og<br />
planlegging av<br />
tiltak
Sikkerhet kan forbedres via kultur<br />
Ref: Antonsen S., Ramstad L. and Kongsvik T., (2007) “Unlocking the organization: Action research as a<br />
means of improving organizational safety”, Safety Science Monitor, vol. 11(1).<br />
Teknologi og samfunn 22
Involver nettverket<br />
Virksomhet<br />
Kunde<br />
Tjenester<br />
Oppsplitting<br />
Underleverandør<br />
Virksomhet<br />
Internt Marked<br />
Kunder<br />
Underleverandør<br />
Virksomhet<br />
Underleverandør<br />
Teknologi og samfunn 23
Minimum - bruk av <strong>SjekkIT</strong><br />
½ dag Prosjektdefinisjon og Organisering –<br />
Fokusområder, deltakere, indikatorer for måling<br />
½ dag<br />
Gruppe-<br />
diskusjon<br />
Vurdering av sikkerhetskultur/sikkerhet via utfylling av<br />
spørreskjema og diskusjon i grupper.<br />
Identifisere tiltak & Enighet om tiltak.<br />
½ dag Oppfølging av indikatorer og tiltak.<br />
Endring/utvikling av sikkerhetskultur kan ta lang tid og krever ledelssesfokus<br />
Teknologi og samfunn 24
Bruk av <strong>SjekkIT</strong><br />
<strong>SjekkIT</strong> som egen separat aktivitet – årlig innsamling av<br />
data (skjema/ eller web basert – mange muligheter)<br />
Integrasjon opp mot andre prosesser/aktiviteter<br />
Risiko og sårbarhetsvurdering (Grovanalyse) eller andre<br />
forbedringstiltak hvor sjekkIT er integrert<br />
Teknologi og samfunn 25
Fokus på indikatorer<br />
Måling Forbedringsprosess<br />
Indikatorer Refleksjon<br />
Iverksette<br />
tiltak<br />
Identifisere indikatorer og sørg for at de kan måles og følges opp<br />
Arenaer for refleksjon:<br />
Iverksette tiltak:<br />
Teknologi og samfunn 26
Agenda<br />
1. Teoretisk bakgrunn for <strong>SjekkIT</strong><br />
2. Metoden ”<strong>SjekkIT</strong>” – hva er det<br />
3. Hvordan forbedre sikkerheten med ”<strong>SjekkIT</strong>”<br />
Teknologi og samfunn 27
Sikkerhetskultur i fokus<br />
Sikkerhetskultur er et viktig perspektiv for å forstå og<br />
forbedre sikkerheten<br />
Sikkerhetskultur kan avdekkes (forstås) og forbedres<br />
- Inspirert av tradisjonen fra E.Schein/MiT (1992)<br />
Forbedring av sikkerhetskultur krever gode møteplasser<br />
og prosesser som fokuserer både på struktur og kultur<br />
- inspirert av norske aksjonsforskere Levin (2007)<br />
<strong>SjekkIT</strong> kan bidra<br />
Teknologi og samfunn 28
Sikkerhetskultur – uønskede hendelser<br />
2010<br />
Teknologi og samfunn
Spørsmål / Diskusjon<br />
Teknologi og samfunn
Referanser<br />
ACSNI (1993). Advisory Committee on the Safety of Nuclear Installations. Study Group<br />
on Human Factors, Third Report: “Organising for Safety”. HSMO, London.<br />
Antonsen S., Ramstad L.R, Kongsvik, T. “Unlocking the Organization: Action Research as<br />
Means of Improving Organizational Safety” Safety Science Monitor, Issue 1 2007, Article<br />
4, Vol 11 (tilgjengelig åpent på web)<br />
Hollnagel, E. Woods D., Leveson N. (2006) “Resilience Enginering” Ashgate<br />
Hudson, P. and van der Graaf, G. C. (2002). “Hearts and Minds: The status after 15<br />
years Research.” Society of Petroleum Engineers (SPE 73941) International conference<br />
on HSE in Oil and Gas Exploration and production. Kuala Lumpur 20-22 March 2002.<br />
IEC 62443 (2008). “Security for industrial process measurement and control - Network<br />
and system security”, ISO/IEC 2008. - se også ISA-99.01.01 (etc..)<br />
Klev, R. and Levin, M. (2009). “Forandring som praksis: Læring og utvikling i organisasjoner”<br />
Fagbokforlaget.<br />
Kotter (1996) – “Leading Change” Harvard Business School Press<br />
Lopez, Wolthusen, and Setola. “Advances in Critical Infrastructure Protection:<br />
Information Infrastructure Models, Analysis, and Defence”; Volume no. 7130 in 'Lecture<br />
Notes in Computer Science' Springer-Verlag<br />
Teknologi og samfunn<br />
©Stig.o.johnsen@gmail.com
Referanser<br />
ISO/IEC 27001 (2005). “Information technology -- Security techniques -- Information<br />
security management systems – Requirements”, ISO.<br />
Johnsen, S. O., Hansen, C. W., Nordby, Y., Dahl, M. B.; “How to measure and improve<br />
IT safety and security culture (CheckIT)”, Proceedings from Asia Pacific Conference on<br />
Risk Management and Safety 2005, ISBN 962-442-279-6, pp. 292-302., ligger ute på<br />
www.sintef.no/<strong>SjekkIT</strong>/<br />
Johnsen, S.O., Veen, M. (2011). “Risk Assessment and Resilience of Critical<br />
Communication Infrastructure in Railways”. In Journal of Cognition Technology & Work,<br />
DOI 10.1007/s10111-011-0187-2.<br />
Norwegian Petroleum Authority - PSA (2010) http://www.ptil.no/prosessikkerhet/nyrapport-om-sikkerhetssystemers-uavhengighet-article7292-98.html<br />
NTSB (2005) National Transportation Safety Board (2005). “Safety Study – Supervisory<br />
Control and Data Acquisition (SCADA)”. Report NTSB/SS-05/02.<br />
Schein E.H. (1992). “Organisational Culture and Leadership”, Jossey-Bass.<br />
SafeCulture - UIC & RSSB - www.safeculture.sintef.no<br />
Westrum R.(1991) “Cultures with requisite imagination”. In J. Wise, P. Stager & J.<br />
Hopkin (Eds), Verification and validation in complex systems. New York: Springer<br />
Teknologi og samfunn<br />
©Stig.o.johnsen@gmail.com
Andre lysark i reserve<br />
Teknologi og samfunn
<strong>SjekkIT</strong> og scenariediskusjon<br />
1. Relevante scenarier<br />
2. Beskrivelse<br />
3. Kritiske hendelser<br />
Teknologi og samfunn 34
Indikatorer fra oljebransjen (Ref PSA/RNNS 2009)<br />
Teknologi og samfunn
Risk communication and traffic accidents<br />
Adams (2005)<br />
1961 1962 1963 1964 1965 1966 1967 1968 1969 1970 1971 1972<br />
Teknologi og samfunn
Proactive indicator<br />
Proactive Indicator – A simple metric (KPI, signal,..)<br />
enabling us to act before a situation becomes a<br />
source of crisis – a risk influencing factor.<br />
Example : "Low fly the swallows, rain to follow.”<br />
Proactive Indicators<br />
Teknologi og samfunn RIO 12.-14.April 2010
(Reported minor) accident rates / 10 5 flight hours<br />
US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel)<br />
5<br />
4,5<br />
4<br />
3,5<br />
3<br />
2,5<br />
2<br />
1,5<br />
1<br />
0,5<br />
0<br />
United<br />
airlines<br />
US airways<br />
Continental<br />
Northwest<br />
Delta<br />
airlines<br />
American<br />
Airlines<br />
Southwest<br />
Airlines<br />
America<br />
West<br />
Frontier<br />
Airlines<br />
Major Airlines Low Cost<br />
Teknologi og samfunn<br />
Jet Blue<br />
Airlines<br />
1997<br />
1998<br />
1999<br />
2000<br />
2001<br />
2002<br />
2003<br />
2004<br />
2005<br />
2006
Fatal Accident rates / 10 5 flight hours<br />
US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel)<br />
0,18<br />
0,16<br />
0,14<br />
0,12<br />
0,1<br />
0,08<br />
0,06<br />
0,04<br />
0,02<br />
0<br />
United<br />
airlines<br />
US airways<br />
Continental<br />
Northwest<br />
Delta<br />
airlines<br />
American<br />
Airlines<br />
Southwest<br />
Airlines<br />
America<br />
West<br />
Teknologi og samfunn<br />
Frontier<br />
Airlines<br />
Major Airlines Low Cost<br />
Jet Blue<br />
Airlines<br />
1997<br />
1998<br />
1999<br />
2000<br />
2001<br />
2002<br />
2003<br />
2004<br />
2005<br />
2006
Generelt – endringer (mindre og større) -<br />
Følges opp via dobbelkretslæring<br />
Enkelkretslæring vs Dobbelkretslæring,<br />
ref: Argyris og Schön (1974)<br />
Teknologi og samfunn 40
Er risikobildet kjent og komplett?<br />
Teknologi og samfunn
God “Sikkerhetskultur” gir lavt antall uhell<br />
og hendelser Itoh og Andersen (2004) :<br />
Motivasjon og holdninger var nøkkelfaktorer for å forklare<br />
god sikkerhet (korrelasjon opp mot hendelser og ulykker)<br />
Korrelasjon med:<br />
Grundig og god opplæring,<br />
Ledelsen og deres fokus på sikkerhet<br />
Enkle og gode prosedyrer og sjekklister utarbeidet I<br />
samarbeid med ansatte<br />
Arbeidsbelastning<br />
Teknologi og samfunn 42
Chernobyl,<br />
1986<br />
Ulykker – dårlig sikkerhetskultur?<br />
Piper Alpha, 1988<br />
Chernobyl<br />
The accident can be said to<br />
have flowed from deficient<br />
safety culture (IAEA 1992: 23)<br />
Aksept for å avvike fra rutiner og regler<br />
Tro på at en alltid kan styre teknologien<br />
Fokus på produksjon vs sikkerhet<br />
Piper Alpha – 167 døde<br />
“It is essential to create a (...) culture in which<br />
safety (...) is accepted as the number one<br />
priority” (Cullen 1990: 300)<br />
Teknologi og samfunn