Hoppa till innehållet
Martin Lundgren
Martin Lundgren, doktorand i informationssystem vid Luleå tekniska universitet. Foto: Linda Alfredsson Visa originalbild , Öppnas i nytt fönster/flik

Mellan det döda och levande i riskhantering

Publicerad: 25 maj 2020

Inkludera den sociala aspekten och låt dynamiska rutiner förbättra och underlätta din organisations riskhantering inom informationssäkerhet. Det är slutsatsen i Martin Lundgrens avhandling Död eller levande: dynamiska rutiner för riskhantering.

Enkelt uttryckt handlar Martin Lundgrens avhandling om svårigheten med att följa instruktioner om riskhantering för informationssäkerhet när de inte riktigt passar in i det sammanhang som de ska användas.

– Om du får en instruktion till vals men musiken är disco, kan du låta fötterna följa valsstegen samtidigt som överkroppen gör mer coola rörelser. Inom riskhantering och informationssäkerhet har instruktionerna en generell och standardiserad form, precis som danssteg, men användningen måste anpassas för att komma sammanhanget till nytta, förklarar Martin Lundgren.

– Om vi fortsätter på dansanalogin: organisationer behöver ta fram sin egen dansstil för att riskhanteringen ska bli en dynamisk rutin istället för ett stelt stapplande efter utlagda fotavtryck där både takt och känsla för sammanhanget saknas.

Flexibelt lärande

I sin avhandling har Martin Lundgren besvara frågorna hur och varför organisationer anpassar sin riskhantering för att identifiera och kontrollera olika typer av hot mot verksamheten. Hur kommer det sig att en del dansar jitterbugg, twist eller slowfox trots att alla fått instruktionerna till vals?

En slutsats är att inkludera de mänskliga aspekterna av riskhantering. Det vill säga att vara medveten om att det finns en flexibel och lärande del i allt säkerhetsarbete.

– Det är lätt tro att det bara finns en praktisk, ”död”, stegvis hantering av riskhantering. Men det finns också en väldigt levande del, den mellanmänskliga biten, då tolkning av instruktioner och praktiska erfarenheter påverkar vad som görs och varför, säger Martin Lundgren.

I avhandlingen beskrivs sambandet mellan den döda och levande aspekten, och kan ge en förklaring till varför praktiken ser ut på ett specifikt sätt. Ibland överensstämmer inte den döda och levande aspekten, till exempel om instruktionen är för svår, för tidsödande, för dyr eller komplex att följa. Det kan i sin tur leda till ett behov av att anpassa instruktionen och det uppstår dynamiska rutiner. Dynamiska rutiner är således sambandet mellan instruktioner, planen och praktiken.

– Om en organisation får insikt om sambandet mellan dessa tre aspekter kan de bli bättre på att tillvarata befintlig kompetens och utveckla instruktionerna för hur de jobbar med informationssäkerhet och riskhantering.

Om rutiner blir allt för dynamiska, kan inte det i sig utgöra en risk?

– Eftersom du inte kan ta höjd för alla situationer som kan uppstå är rutiner begränsade och därför ibland vaga i sina instruktioner. Å ena sidan kan dynamiska rutiner vara behövligt. Det kan tyda på väldigt god förståelse för informationssäkerhet och riskhantering om du kan anpassa, effektivisera och skräddarsy processen för hur organisationen faktiskt fungerar. Å andra sidan kan det även vara ett tecken på motsatsen. Det kan finnas bristfällig kompetens som inte förstår eller kan omsätta instruktionerna till faktisk praktik och därför väljer att avstå eller trimma bort delar av processen som de inte behärskar. Dynamiska rutiner är således varken bra eller dåliga, utan snarare en reflektion av praktiken som påverkar instruktionerna för hur vi skall jobba.

Kontakt

Martin Lundgren

Martin Lundgren, Universitetslektor

Telefon: 0920-493990
Organisation: Informationssystem, Digitala tjänster och system, Institutionen för system- och rymdteknik