I ett säkerhetsläge präglat av geopolitisk spänning och ökade påverkansförsök mot svenska företag har personalsäkerhet gått från stödfunktion till strategisk kärnfråga, enligt 2Secure tillsammans med Sistec och Ljung och Sjöberg. Insiderhot, påverkansförsök och otillåten informationsinhämtning beskrivs i dag i hög grad ske genom personer med legitim tillgång till lokaler, system och information – inte enbart via tekniska intrång.
Enligt företagen innebär detta ett delat ansvar för säkerhetschefer och HR, där strukturer, kultur och kontrollmekanismer behöver samverka för att förebygga insiderproblematik och andra personalsäkerhetsrelaterade risker.
Insiderhot och missbruk ställer nya krav
En central utmaning är den ökande drogproblematiken i samhället, som också märks på arbetsplatser. Drogmissbruk och ekonomisk utsatthet lyfts fram som faktorer som både kan skapa direkt skada och göra individer sårbara för otillbörlig påverkan över tid.
– Vi ser ett ökande drogmissbruk i samhället, och arbetsplatserna är inget undantag. Problemen upptäcks ofta först när skadan redan är skedd, där ekonomisk skada, försämrad arbetsmiljö och ökade säkerhetsrisker är vanliga konsekvenser. Samtidigt riskerar medarbetaren att fastna i en beroendeställning till fel personer, där behovet av droger och pengar blir allt mer desperat, en farlig situation både för individen och för verksamheten, säger Axel Gudmundsson, Ljung och Sjöberg.
Dolt missbruk, ekonomiska problem, bristande omdöme eller externa lojaliteter pekas ut som riskfaktorer som kan utnyttjas över tid. Om bakgrundskontroller är ytliga, identitetsverifiering brister eller referenser tas slentrianmässigt ökar risken att personer med dolda riskfaktorer får tillgång till verksamhetskritiska resurser.
I större organisationer kan en enskild felrekrytering på rätt position få påverkan på hela systemet, enligt beskrivningen.
Säkerhet i hela medarbetarresan
Enligt 2Secure och samarbetspartners börjar verksamhetsskyddet långt innan första arbetsdagen. Rekryteringen beskrivs som organisationens första säkerhetskontroll och en grund för den fortsatta personalsäkerheten.
– Verksamhetsskydd börjar långt innan första arbetsdagen. Rekrytering är i praktiken organisationens första säkerhetskontroll och lägger grunden för hela det fortsatta arbetet med personalsäkerhet. När det redan i rekryteringen är tydligt att vi noggrant säkerställer vem vi anställer, inte accepterar kriminalitet och genomför regelbundna drogtester, sätter det också tonen för hela säkerhetskulturen, säger Tobias Eng, Sistec.
För säkerhetsfunktionen lyfts behovet av tydliga riskklassningar av befattningar, strukturerad samverkan med HR och en gemensam syn på vilka roller som kräver fördjupade kontroller. HR-funktionen uppges behöva integrera säkerhetsperspektivet i hela medarbetarresan, från rekrytering till avslut.
Personalsäkerhet beskrivs som en kontinuerlig process, inte en engångsåtgärd vid anställning. Riskbilden kan förändras genom till exempel ekonomisk press, livskriser eller externa påtryckningar långt efter att anställningsavtalet skrivits under.
En robust modell för personalsäkerhet anges omfatta bland annat riskklassning av befattningar, strukturerade och dokumenterade bakgrundskontroller, tydlig identitetsverifiering, löpande säkerhetsmedvetande och utbildning samt rutiner för att fånga upp förändrade riskindikatorer som till exempel missbruk.
– Arbetet kräver ett förtroendebaserat samarbete mellan HR och säkerhetsorganisationen, där juridik, integritet och riskreducering balanseras professionellt, säger Niclas Hedefalk, 2Secure.
Han betonar samtidigt att långsiktigt hållbar personalsäkerhet enligt 2Secure vilar på tillit, transparens och respekt för den personliga integriteten. Befattningsanpassade bakgrundskontroller som är proportionerliga, tydliga och rättssäkra uppges skapa både trygghet för verksamheten och förtroende hos medarbetarna.
Personalsäkerhet behöver enligt beskrivningen vara förankrad på ledningsnivå, med mandat, resurser och tydliga prioriteringar. För säkerhetschefer handlar det om att beskriva riskexponering och konsekvenser i termer som verksamhetsledningen känner igen, såsom affärsrisk, varumärkespåverkan, regulatoriska krav och kontinuitet. HR-funktionen lyfts fram som ansvarig för att säkerställa rättssäkra, proportionerliga och transparenta processer, samtidigt som organisationen skyddas.
Som en del i att sprida kunskap om metoder och verktyg för insiderprevention bjuder 2Secure in till ett kostnadsfritt frukostseminarium i Göteborg den 10 mars. Seminariet riktar sig till HR, säkerhetsansvariga och beslutsfattare och omfattar trender och beprövade arbetssätt, enligt företaget.
