Nasjonal sikkerhetsmyndighet definerer sikkerhetskultur til å være summen av de ansattes kunnskap, motivasjon, holdninger og atferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd.

Sikkerhetskultur er til syvende og sist hvordan sikkerhet forstås, prioriteres og håndteres i virksomheten.

Alle organisasjoner har en eller annen form for sikkerhetskultur. Den kan være god eller dårlig, men sikkerhetskultur er ofte noe som vi blir mer bevisst etter at vi opplever sikkerhetsbrudd eller sikkerhetstruende hendelser.

  • Sikkerhetsbrudd er ofte et resultat av individers eller organisasjoners manglende sikkerhetsbevissthet, og sikkerhetsatferd. Dette kan skyldes manglende kunnskaper og evne til å foreta riktige beslutninger, eller det er handlinger hvor noen bevisst velger å omgå sikkerhetsrutiner og prosesser. 
  • Sikkerhetstruende hendelser kan være situasjoner hvor svakheter utnyttes av eksterne aktører som benytter disse svakhetene til å oppnå sine mål ved f.eks. å fremskaffe sikkerhetsgradert informasjon fra en virksomhet.   

Vi kan måle kunnskapsnivået hos de ansatte og anta at atferden står i forhold til det målte kunnskapsnivå. Men å kunne si noe om sikkerhetskultur ved bare å måle om et større antall av de ansatte gir «rett» svar på en spørreundersøkelse, gir sannsynligvis ikke en god nok situasjonsbeskrivelse. Men måling kan gi en god pekepinn om «hvor skoen trykker» slik at tiltak kan iverksettes.

Det finnes virksomheter som tilbyr tjenester og løsninger som måler sikkerhetskultur og som tilbyr ulike løsninger for å forbedre sikkerhetskulturen.

Men virksomheter kan også selv måle ulike faktorer som kan gi et bedre bilde av sikkerhetskulturen i en organisasjon. Som f.eks:

  • Oversikt med rapporterte sikkerhetsbrudd og sikkerhetstruende hendelser
  • Oversikt over nettverksaktivitet i virksomheten
  • Oversikt med dataangrep eller virusinfeksjoner
  • Oversikt over hvor ofte ansatte blir lurt av svindelsforsøk m.m.

Mange virksomheter tester sin sikkerhetsatferd ved å utsette virksomhetens ansatte for hendelser som involverer sosial manipulering, men slike tester kan også by på etiske og moralske utfordringer.

Sikkerhetskultur kan forbedres ved å bevisstgjøre enkeltindivider og felleskapet i en virksomhet.

Viktige elementer i etablering av god sikkerhetskultur:

  • Gjennomfør balanserte sikkerhetstiltak og rutiner som tilsvarer behovet virksomheten har for sikkerhet. (Trussel- og risikovurdering bør ligge til grunn)
  • Virksomhetens leder og ledelse må involveres og gå foran som gode eksempler på god sikkerhetsatferd.
  • Skap forståelse i hele organisasjonen hvorfor sikkerhet er viktig.
  • For å kunne endre noe, må vi vite hva standpunkt er. Finn målbare forbedringspunkter i virksomheten for å se om forbedringstiltakene fungerer.
  • Sett søkelys på enkelte områder som kan forbedres og bruk ulike virkemidler for å motivere de ansatte til å forbedre seg.
  • Mål endringer underveis.
  • Ros fungerer bedre enn ris.
  • Evaluere, kommunisere og gjenta

Vi kan ikke vite hvordan vi som mennesker kommer til å handle i ulike situasjoner. Men vi kan redusere usikkerheten gjennom bevisstgjøring, trening og motivasjon.

Det bør være sammenheng mellom skriftlige sikkerhetsprosesser og hvordan rutinene praktiseres. Om en virksomhet sier seg tilfreds med å ha dokumenterte sikkerhetsrutiner på plass uten å sørge for implementering av tiltakene i det daglige, har det hele liten hensikt. En slik selvtilfredshet utgjør sannsynligvis en sikkerhetsrisiko. Å endre atferd tar tid og det å endre atferd i en hel organisasjon er noe som tar enda lengre tid. 

Dråpe som viser stempel for hemmelig