CER: Få medarbejderne til at holde et vågent øje med sikkerheden

Hvad går medarbejder-awareness ud på i CER-direktivet?

Medarbejder-awareness handler grundlæggende om at gøre virksomhedens medarbejdere bevidste og observante over for de trusler, som virksomheden har identificeret, og de tiltag, der er implementeret for at imødegå dem. Det handler samtidig om at styrke opmærksomheden på nye og endnu ikke erkendte risici – og om at ruste medarbejderne til at kunne agere aktivt og selvstændigt frem for blot at reagere. Hvis medarbejdere ikke forstår eller omgår sikkerhedstiltagene, risikerer de, bevidst eller ubevidst at gøre virksomheden sårbar.

De bedste metoder til at fremme awareness er at uddanne og træne medarbejderne og samtidig give dem de konkrete informationer, de har brug for. Når færdighederne er på plads, skal de holdes vedlige gennem øvelse. Det behøver ikke være store øvelser – mindre aktiviteter, scenarier eller opgaver i dagligdagen kan også fastholde medarbejdernes bevidsthed og reaktionsevne.

Virksomheden skaber medarbejder-awareness ved at opbygge en god og stærk sikkerhedskultur. Det starter med et tydeligt ledelsesengagement. Awareness og kultur skal komme oppefra og være forankret i ledelsen. Sikkerhedskulturen og awareness understøtter hinanden gensidigt. Awareness udgør en del af den bredere sikkerhedskultur, som også omfatter IT-adfærd, omgang med gæster og medarbejdernes ansvarsfølelse over for virksomhedens samlede trusselsbillede.

Hvad skal virksomhederne helt konkret gøre?

Når virksomheden har identificeret sine trusler og sårbarheder, skal medarbejderne kende dem. De skal vide, hvad de skal reagere på og holde øje med. Det er ikke nok blot at nævne det i en enkelt e-mail. Lederne skal gå foran og forklare truslerne og konsekvenserne, hvis medarbejderne ikke opdager eller rapporterer kritiske hændelser.

Samtidig skal medarbejderne forstå, hvorfor nye tiltag implementeres. Hvis en virksomhed f.eks. etablerer en sluse, nytter det ikke blot at fortælle, hvordan den bruges – medarbejderne skal forstå, at den skal forhindre uvedkommende i at få adgang. Forståelsen for truslen er helt afgørende for, at medarbejderne tager tiltaget alvorligt.

Medarbejderne skal forstå, at der er en reel og presserende grund til at ændre adfærd – især, hvis de har arbejdet i virksomheden i mange år og pludselig skal gøre ting på en ny måde. Mange holder fast i vaner og rutiner, medmindre virksomheden kontinuerligt skubber dem i retning af nye procedurer. Her kan ledelsen anvende principper fra forandringsledelse for at skabe forståelse og sikre forankring i daglig praksis.

Virksomheden kan med fordel starte med at varsle awareness-aktiviteter – f.eks. som en sikkerhedsuge – og først derefter gentage dem uvarslet efter nogle måneder for at se, om adfærden har sat sig fast.

Hvad er en god fremgangsmåde?

Hvis man f.eks. ønsker, at medarbejderne ikke lukker fremmede ind i bygninger ved tailgating – altså når uvedkommende følger lige i hælene på en medarbejder for at komme ind uden selv at bruge adgangskort – nytter det ikke blot at sige det til dem. De fleste husker det ikke i en stresset morgen, hvor børnene har været urolige hele vejen til børnehaven. Man skal hjælpe dem via øvelser og forsøg på at komme ind (penetrationstest), så det bliver en naturlig del af deres bevidsthed.

Virksomheden kan med fordel gennemføre penetrationstests to gange årligt for at vurdere, om medarbejdernes awareness-niveau udvikler sig positivt. En simpel test kan bestå i at undersøge, om uvedkommende kan få adgang til virksomhedens bygninger ved at følge efter en medarbejder gennem en adgangskontrolleret dør. I samme situation kan man observere, om medarbejderen ser sig tilbage og kontrollerer, at døren lukker korrekt. Hvis medarbejderen går videre uden at reagere, kan det tyde på manglende opmærksomhed på sikkerhedsprocedurer og en lav grad af awareness i forhold til fysiske adgangstrusler.

Tænk praktisk. Mennesker er ikke rationelle – de følger ikke 10 regler på et A4-ark i tekøkkenet. Hvis man vil have, at medarbejderne bærer ID-kort synligt og holder øje med, om andre gør det samme, skal man træne det. Ledelsen kan gå foran som eksempel.

Hvis direktøren bruger en time mellem kl. 8 og 9 på at dele croissanter ud og minde medarbejderne om at bære synligt ID, giver det langt mere effekt end 100 oplysningskampagner på intranettet. Det handler om at skabe en positiv og tillidsfuld påmindelse, hvor medarbejderen ikke føler sig udskammet, men stadig forstår vigtigheden.

Mange medarbejdere er konfliktsky og synes, at det er svært at spørge fremmede til deres ærinde eller ID. Derfor skal de vide, hvem de kan kontakte – f.eks. en sikkerhedsansvarlig – hvis de er i tvivl. Ellers reagerer de måske ikke.

Virksomheden skal arbejde med awareness løbende og ikke nøjes med en temauge én gang om året. Medarbejderne skal se, at ledelsen selv deltager aktivt. Man bør også tage højde for, at medarbejdere tilegner sig viden forskelligt. Nogle foretrækker skriftlige vejledninger, mens andre har brug for mundtlige oplæg eller konkrete eksempler. En kombineret tilgang virker bedst.

Er der faldgruber, man bør være opmærksom på?

Det kræver mere end blot information at ændre adfærd og styrke awareness. Virksomheden må supplere med praktiske øvelser og scenariebaseret træning, så medarbejderne lærer at handle hensigtsmæssigt i virkelige situationer.

Selvom det er vigtigt at opfordre medarbejdere til at være opmærksomme på sikkerhedsbrud, må virksomheden ikke skabe en negativ overvågningskultur. Det kan skabe mistillid og utryghed. I stedet skal virksomheden vise, at rapportering handler om at hjælpe hinanden og styrke fællesskabet. Man kan godt rette på hinanden – men det skal ske med respekt.

Når virksomheder kombinerer awareness-indsatser med en positiv kultur og konkret træning, kan de skabe stærke forsvarsmekanismer, hvor både sikkerhedsforanstaltninger og medarbejdernes opmærksomhed arbejder sammen for at beskytte organisationen.

Læs mere om CER-direktivet