Leveransesikkerhet i integrerte operasjoner - Difi...Teknologi og samfunn 5 Sikkerhetskultur –...
Transcript of Leveransesikkerhet i integrerte operasjoner - Difi...Teknologi og samfunn 5 Sikkerhetskultur –...
Teknologi og samfunn 1
SjekkIT – et verktøy for måling og forbedring
av sikkerhetskultur og sikkerhet
SINTEF Teknologi og Samfunn
Teknologi og samfunn
Bakgrunn (og “bias”) Seniorforsker SINTEF – sikkerhet (safety and security) :
Sikkerhetskultur: ( UIC, JBV) & ( Telenor, Statoil/Hydro, NSM)
Samarbeid med OLF, Ptil – sikkerhet i integrerte operasjoner
(IT/SAS) & samarbeid om sikkerhet og robusthet - (USA) IFIP
WG 11.10, National Academy of Sciences – Deepwater Horizon
PhD innen sikkerhet og robusthet ved NTNU - 2012
Praksis – teknolog /endringsledelse :
Teknolog: Siv.Ing & Master - Technology Management – NTNU
/MiT
Prosjektleder: Arthur Andersen & Co./Accenture
IT-sjef/ IT-direktør: Større endringsprosjekter
Teknologi og samfunn 3
Posisjon
Sikkerhetskultur er et viktig perspektiv for å forstå og
forbedre sikkerheten
Sikkerhetskultur kan avdekkes (forstås) og forbedres - Inspirert av tradisjonen fra E.Schein/MiT (1992)
Forbedring av sikkerhetskultur krever gode møteplasser
og prosesser som fokuserer både på struktur og kultur - inspirert av norske aksjonsforskere som Klev og Levin (2009)
Teknologi og samfunn 4
Agenda
1. Teoretisk bakgrunn for SjekkIT
2. Metoden ”SjekkIT” – hva er det
3. Hvordan forbedre sikkerheten med ”SjekkIT”
Teknologi og samfunn 5
Sikkerhetskultur – definisjon
Holdninger, kunnskap og atferd som sier noe om
hvordan helse, miljø og sikkerhet (HMS) ivaretas.
‘The safety culture of an organisation is the product of
individual and group values, attitudes, perceptions,
competencies and patterns of behaviour that determine
commitment to, and the style and proficiency of, an
organisation’s health and safety management’. [From Advisory Committee for Safety on Nuclear Installations-93]
Teknologi og samfunn 6
Kultur - en av flere faktorer som
påvirker HMS
HMS f.eks IT sikkerhet Reduksjon og håndtering av uønskede hendelser
Kultur - Kunnskap, holdning, - Adferd
Dvs Kultur må ses i en større sammenheng og flettes sammen med
andre forhold for å oppnå forbedringer
Struktur - Ledelse, organisering - Prosesser, rutiner
Teknologi og samfunn
Utviklingstrinn - sikkerhetskultur Westrum (1991)
Patologisk (bli ikke tatt)
Reaktiv
Regelorientert Vi har regler
Proaktiv
Generativ Sikkerhet integrert
Økt tillit
Økt informasjon
og kunnskap
Teknologi og samfunn
Integrert sikkerhet koster
8
Teknologi og samfunn 9
Endring i perspektiver på styring
Byråkratisk
kontroll
- detaljerte
instrukser og
regler
- tidkrevende og
lite fleksibelt
Kulturell kontroll, etablere felles verdier og
mål
- de riktige aksjonene
skjer uten detaljstyring
- Fleksibelt
- Valg ut fra kunnskap vs
ideologisk tvangstrøye?
- Tilpasset
Nettverksorganisasjoner
Teknologi og samfunn 10
Agenda
1. Teoretisk bakgrunn for SjekkIT
2. Metoden ”SjekkIT” – hva er det
3. Hvordan forbedre sikkerheten med ”SjekkIT”
Teknologi og samfunn 11
SjekkIT – måle og forbedre
SjekkIT er laget for å måle og forbedre IT-sikkerhetskultur
SjekkIT er basert på god praksis og teori bl.a fra Shell -
”Hearts and mind”
Verktøyet er tilpasset i samarbeid med Statoil, Hydro,
NSM, Telenor og JBV – se www.sintef.no/SjekkIT/
Teknologi og samfunn 12
SjekkIT – tema og prosess
1. Tema/sjekkliste: Basert på å gjennomgå/diskutere
sentrale tema fra sikkerhet og sikkerhetskultur
2. Prosess/søkekonferanser: Etablere en
forbedringsprosess - basert på erfaringene fra
aksjonsforskning med involvering av sentrale aktører i
søkekonferanser
Målet er å forbedre holdninger, kunnskap og adferd i grupper
slik at sikkerheten kan forbedres
Teknologi og samfunn
Shell “Hearts and Minds” – etter 15 år
Forbedre både struktur og kultur
Forbedre sikkerhetskultur – involvering og fokus på
organisasjonslæring – Ref: (SPE 2002, Hudson et al :”Hearts and Mind”: The status after 15
years Research”)
Høy sikkerhetskultur har konsekvenser - Shell valgte å ikke bore etter
olje i vanskelige felt i Mexicogulfen
Reduksjon av ulykker og HMS hendelser
Acc
iden
ts
1986 200..
Teknologi og samfunn
2010
BP valgte å bore i Mexicogulfen
Teknologi og samfunn 15
Eksempler på områder i SjekkIT
1. Kunnskap og holdninger – eks. Klare og aksepterte mål
2. Rapporteringskultur & Løpende læring av hendelser
3. Adferd – sikkerhet ved bruk av fjernarbeid
4. Policy og ledelse - kommunikasjon, sikkerhet i prosjekter
5. Spesielle fokusområder/tilleggspørsmål (Vedlegg med
flere tilleggspørsmål)
Teknologi og samfunn 16
Spesielle fokusområder - tilpassning
Eksempler:
1.Informasjonsikkerhet i prosjekter – integrert fra starten eller
etterpåklokskap?
2.Informasjonssikkerhet i mobile løsninger / i skyene (cloud
cumputing)?
3.Robusthet/resilience – evne til gjenvinning og ivareta
kritiske funksjoner ved svikt/angrep? – Hollnagel (2006)
Teknologi og samfunn 17
Eksempel på spørsmål
Hvordan håndteres informasjonssikkerhet i prosjekter?;
Informasjonssikkerhet er ikke et tema når nye prosjekter
planlegges. Eventuelle problemer knyttet til informasjonssikkerhet
blir utsatt til gjennomføringsfasene av prosjekter og løses etter
hvert.
Informasjonssikkerhet blir tatt hensyn til i prosjekter, og deltakerne
er alle autoriserte til å kunne gjøre jobben. Prosjektene skal følge
etablerte prosedyrer, regler og relevant lovverk.
Når nye prosjekter planlegges blir informasjonssikkerhet vurdert i
startfasen. Risiko- og sårbarhetsanalyser gjennomføres og
informasjonssikkerhet integreres og testes løpende.
Prosjektgruppene har forståelse for at informasjonssikkerhet er av
kritisk betydning.
Teknologi og samfunn
Liste over spørsmål
18
Teknologi og samfunn 19
Eksempel på skjema (Skala fra 1.. til 5)
Spørsmål
Patologisk Ideell Regelstyrt
Teknologi og samfunn 20
Agenda
1. Teoretisk bakgrunn for SjekkIT
2. Metoden ”SjekkIT” – hva er det
3. Hvordan forbedre sikkerheten med ”SjekkIT”
Teknologi og samfunn
Prosessen og organisering
Vurdering og
forslag til tiltak
(SjekkIT)
Søkekonferanser
(1-2 dags samling
med aktørene)
Håndtering -
Prioritering og
planlegging av
tiltak
Håndtering -
Sette i verk tiltak
Håndtering -
Evaluering av tiltak
Refleksjon og
læring av
endringene
Teknologi og samfunn 22
Sikkerhet kan forbedres via kultur Ref: Antonsen S., Ramstad L. and Kongsvik T., (2007) “Unlocking the organization: Action research as a
means of improving organizational safety”, Safety Science Monitor, vol. 11(1).
Teknologi og samfunn 23
Virksomhet
Kunde
Tjenester
Kunder
Internt Marked
Underleverandør
Underleverandør
Underleverandør
Virksomhet
Virksomhet
Oppsplitting
Involver nettverket
Teknologi og samfunn 24
Minimum - bruk av SjekkIT
½ dag Prosjektdefinisjon og Organisering –
Fokusområder, deltakere, indikatorer for måling
½ dag
Gruppe-
diskusjon
Vurdering av sikkerhetskultur/sikkerhet via utfylling av
spørreskjema og diskusjon i grupper.
Identifisere tiltak & Enighet om tiltak.
½ dag Oppfølging av indikatorer og tiltak.
Endring/utvikling av sikkerhetskultur kan ta lang tid og krever ledelssesfokus
Teknologi og samfunn 25
Bruk av SjekkIT
SjekkIT som egen separat aktivitet – årlig innsamling av
data (skjema/ eller web basert – mange muligheter)
Integrasjon opp mot andre prosesser/aktiviteter
Risiko og sårbarhetsvurdering (Grovanalyse) eller andre
forbedringstiltak hvor sjekkIT er integrert
Teknologi og samfunn 26
Fokus på indikatorer
Indikatorer Refleksjon
Måling Forbedringsprosess
Iverksette
tiltak
Identifisere indikatorer og sørg for at de kan måles og følges opp
Arenaer for refleksjon:
Iverksette tiltak:
Teknologi og samfunn 27
Agenda
1. Teoretisk bakgrunn for SjekkIT
2. Metoden ”SjekkIT” – hva er det
3. Hvordan forbedre sikkerheten med ”SjekkIT”
Teknologi og samfunn 28
Sikkerhetskultur i fokus
Sikkerhetskultur er et viktig perspektiv for å forstå og
forbedre sikkerheten
Sikkerhetskultur kan avdekkes (forstås) og forbedres - Inspirert av tradisjonen fra E.Schein/MiT (1992)
Forbedring av sikkerhetskultur krever gode møteplasser
og prosesser som fokuserer både på struktur og kultur - inspirert av norske aksjonsforskere Levin (2007)
SjekkIT kan bidra
Teknologi og samfunn
2010
Sikkerhetskultur – uønskede hendelser
Teknologi og samfunn
Spørsmål / Diskusjon
Teknologi og samfunn
Referanser
ACSNI (1993). Advisory Committee on the Safety of Nuclear Installations. Study Group
on Human Factors, Third Report: “Organising for Safety”. HSMO, London.
Antonsen S., Ramstad L.R, Kongsvik, T. “Unlocking the Organization: Action Research as
Means of Improving Organizational Safety” Safety Science Monitor, Issue 1 2007, Article
4, Vol 11 (tilgjengelig åpent på web)
Hollnagel, E. Woods D., Leveson N. (2006) “Resilience Enginering” Ashgate
Hudson, P. and van der Graaf, G. C. (2002). “Hearts and Minds: The status after 15
years Research.” Society of Petroleum Engineers (SPE 73941) International conference
on HSE in Oil and Gas Exploration and production. Kuala Lumpur 20-22 March 2002.
IEC 62443 (2008). “Security for industrial process measurement and control - Network
and system security”, ISO/IEC 2008. - se også ISA-99.01.01 (etc..)
Klev, R. and Levin, M. (2009). “Forandring som praksis: Læring og utvikling i organ-
isasjoner” Fagbokforlaget.
Kotter (1996) – “Leading Change” Harvard Business School Press
Lopez, Wolthusen, and Setola. “Advances in Critical Infrastructure Protection:
Information Infrastructure Models, Analysis, and Defence”; Volume no. 7130 in 'Lecture
Notes in Computer Science' Springer-Verlag
Teknologi og samfunn
Referanser ISO/IEC 27001 (2005). “Information technology -- Security techniques -- Information
security management systems – Requirements”, ISO.
Johnsen, S. O., Hansen, C. W., Nordby, Y., Dahl, M. B.; “How to measure and improve
IT safety and security culture (CheckIT)”, Proceedings from Asia Pacific Conference on
Risk Management and Safety 2005, ISBN 962-442-279-6, pp. 292-302., ligger ute på
www.sintef.no/SjekkIT/
Johnsen, S.O., Veen, M. (2011). “Risk Assessment and Resilience of Critical
Communication Infrastructure in Railways”. In Journal of Cognition Technology & Work,
DOI 10.1007/s10111-011-0187-2.
Norwegian Petroleum Authority - PSA (2010) http://www.ptil.no/prosessikkerhet/ny-
rapport-om-sikkerhetssystemers-uavhengighet-article7292-98.html
NTSB (2005) National Transportation Safety Board (2005). “Safety Study – Supervisory Control and Data Acquisition (SCADA)”. Report NTSB/SS-05/02.
Schein E.H. (1992). “Organisational Culture and Leadership”, Jossey-Bass.
SafeCulture - UIC & RSSB - www.safeculture.sintef.no
Westrum R.(1991) “Cultures with requisite imagination”. In J. Wise, P. Stager & J.
Hopkin (Eds), Verification and validation in complex systems. New York: Springer
Teknologi og samfunn
Andre lysark i reserve
Teknologi og samfunn 34
SjekkIT og scenariediskusjon
1. Relevante scenarier
2. Beskrivelse 3. Kritiske hendelser
Teknologi og samfunn
Indikatorer fra oljebransjen (Ref PSA/RNNS 2009)
Teknologi og samfunn
Risk communication and traffic accidents
1961 1962 1963 1964 1965 1966 1967 1968 1969 1970 1971 1972
Adams (2005)
Teknologi og samfunn RIO 12.-14.April 2010 Proactive Indicators
Proactive indicator
Proactive Indicator – A simple metric (KPI, signal,..)
enabling us to act before a situation becomes a
source of crisis – a risk influencing factor.
Example : "Low fly the swallows, rain to follow.”
Teknologi og samfunn
(Reported minor) accident rates / 105 flight hours
US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel)
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Un
ited
air
lin
es
US
air
ways
Co
nti
nen
tal
No
rth
west
Delt
a
air
lin
es
Am
eri
can
Air
lin
es
So
uth
west
Air
lin
es
Am
eri
ca
West
Fro
nti
er
Air
lin
es
Jet
Blu
e
Air
lin
es
Major Airlines Low Cost
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
Teknologi og samfunn
Fatal Accident rates / 105 flight hours
US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel)
00,020,040,060,080,1
0,120,140,160,18
Un
ited
air
lin
es
US
air
ways
Co
nti
nen
tal
No
rth
west
Delt
a
air
lin
es
Am
eri
can
Air
lin
es
So
uth
west
Air
lin
es
Am
eri
ca
West
Fro
nti
er
Air
lin
es
Jet
Blu
e
Air
lin
es
Major Airlines Low Cost
1997199819992000200120022003200420052006
Teknologi og samfunn 40
Generelt – endringer (mindre og større) - Følges opp via dobbelkretslæring
Enkelkretslæring vs Dobbelkretslæring,
ref: Argyris og Schön (1974)
Teknologi og samfunn
Er risikobildet kjent og komplett?
Teknologi og samfunn 42
God “Sikkerhetskultur” gir lavt antall uhell
og hendelser Itoh og Andersen (2004) :
Motivasjon og holdninger var nøkkelfaktorer for å forklare
god sikkerhet (korrelasjon opp mot hendelser og ulykker)
Korrelasjon med:
Grundig og god opplæring,
Ledelsen og deres fokus på sikkerhet
Enkle og gode prosedyrer og sjekklister utarbeidet I
samarbeid med ansatte
Arbeidsbelastning
Teknologi og samfunn
Ulykker – dårlig sikkerhetskultur?
Chernobyl,
1986
Piper Alpha, 1988
Chernobyl
Aksept for å avvike fra rutiner og regler
Tro på at en alltid kan styre teknologien
Fokus på produksjon vs sikkerhet
Piper Alpha – 167 døde
“It is essential to create a (...) culture in which
safety (...) is accepted as the number one
priority” (Cullen 1990: 300)
The accident can be said to
have flowed from deficient
safety culture (IAEA 1992: 23)