Leveransesikkerhet i integrerte operasjoner - Difi...Teknologi og samfunn 5 Sikkerhetskultur –...

Teknologi og samfunn 1

SjekkIT – et verktøy for måling og forbedring

av sikkerhetskultur og sikkerhet

[email protected]

SINTEF Teknologi og Samfunn

mailto:[email protected]

Teknologi og samfunn

Bakgrunn (og “bias”) Seniorforsker SINTEF – sikkerhet (safety and security) :

Sikkerhetskultur: ( UIC, JBV) & ( Telenor, Statoil/Hydro, NSM)

Samarbeid med OLF, Ptil – sikkerhet i integrerte operasjoner

(IT/SAS) & samarbeid om sikkerhet og robusthet - (USA) IFIP

WG 11.10, National Academy of Sciences – Deepwater Horizon

PhD innen sikkerhet og robusthet ved NTNU - 2012

Praksis – teknolog /endringsledelse :

Teknolog: Siv.Ing & Master - Technology Management – NTNU

/MiT

Prosjektleder: Arthur Andersen & Co./Accenture

IT-sjef/ IT-direktør: Større endringsprosjekter


Posisjon

Sikkerhetskultur er et viktig perspektiv for å forstå og

forbedre sikkerheten

Sikkerhetskultur kan avdekkes (forstås) og forbedres - Inspirert av tradisjonen fra E.Schein/MiT (1992)

Forbedring av sikkerhetskultur krever gode møteplasser

og prosesser som fokuserer både på struktur og kultur - inspirert av norske aksjonsforskere som Klev og Levin (2009)


Agenda

1. Teoretisk bakgrunn for SjekkIT

2. Metoden ”SjekkIT” – hva er det

3. Hvordan forbedre sikkerheten med ”SjekkIT”


Sikkerhetskultur – definisjon

Holdninger, kunnskap og atferd som sier noe om

hvordan helse, miljø og sikkerhet (HMS) ivaretas.

‘The safety culture of an organisation is the product of

individual and group values, attitudes, perceptions,

competencies and patterns of behaviour that determine

commitment to, and the style and proficiency of, an

organisation’s health and safety management’. [From Advisory Committee for Safety on Nuclear Installations-93]


Kultur - en av flere faktorer som

påvirker HMS

HMS f.eks IT sikkerhet Reduksjon og håndtering av uønskede hendelser

Kultur - Kunnskap, holdning, - Adferd

Dvs Kultur må ses i en større sammenheng og flettes sammen med

andre forhold for å oppnå forbedringer

Struktur - Ledelse, organisering - Prosesser, rutiner


Utviklingstrinn - sikkerhetskultur Westrum (1991)

Patologisk (bli ikke tatt)

Reaktiv

Regelorientert Vi har regler

Proaktiv

Generativ Sikkerhet integrert

Økt tillit

Økt informasjon

og kunnskap


Integrert sikkerhet koster

8


Endring i perspektiver på styring

Byråkratisk

kontroll

- detaljerte

instrukser og

regler

- tidkrevende og

lite fleksibelt

Kulturell kontroll, etablere felles verdier og

mål

- de riktige aksjonene

skjer uten detaljstyring

- Fleksibelt

- Valg ut fra kunnskap vs

ideologisk tvangstrøye?

- Tilpasset

Nettverksorganisasjoner


Agenda





SjekkIT – måle og forbedre

SjekkIT er laget for å måle og forbedre IT-sikkerhetskultur

SjekkIT er basert på god praksis og teori bl.a fra Shell -

”Hearts and mind”

Verktøyet er tilpasset i samarbeid med Statoil, Hydro,

NSM, Telenor og JBV – se www.sintef.no/SjekkIT/


SjekkIT – tema og prosess

1. Tema/sjekkliste: Basert på å gjennomgå/diskutere

sentrale tema fra sikkerhet og sikkerhetskultur

2. Prosess/søkekonferanser: Etablere en

forbedringsprosess - basert på erfaringene fra

aksjonsforskning med involvering av sentrale aktører i

søkekonferanser

Målet er å forbedre holdninger, kunnskap og adferd i grupper

slik at sikkerheten kan forbedres


Shell “Hearts and Minds” – etter 15 år

Forbedre både struktur og kultur

Forbedre sikkerhetskultur – involvering og fokus på

organisasjonslæring – Ref: (SPE 2002, Hudson et al :”Hearts and Mind”: The status after 15

years Research”)

Høy sikkerhetskultur har konsekvenser - Shell valgte å ikke bore etter

olje i vanskelige felt i Mexicogulfen

Reduksjon av ulykker og HMS hendelser

Acc

iden

ts

1986 200..


2010

BP valgte å bore i Mexicogulfen


Eksempler på områder i SjekkIT

1. Kunnskap og holdninger – eks. Klare og aksepterte mål

2. Rapporteringskultur & Løpende læring av hendelser

3. Adferd – sikkerhet ved bruk av fjernarbeid

4. Policy og ledelse - kommunikasjon, sikkerhet i prosjekter

5. Spesielle fokusområder/tilleggspørsmål (Vedlegg med

flere tilleggspørsmål)


Spesielle fokusområder - tilpassning

Eksempler:

1.Informasjonsikkerhet i prosjekter – integrert fra starten eller

etterpåklokskap?

2.Informasjonssikkerhet i mobile løsninger / i skyene (cloud

cumputing)?

3.Robusthet/resilience – evne til gjenvinning og ivareta

kritiske funksjoner ved svikt/angrep? – Hollnagel (2006)


Eksempel på spørsmål

Hvordan håndteres informasjonssikkerhet i prosjekter?;

Informasjonssikkerhet er ikke et tema når nye prosjekter

planlegges. Eventuelle problemer knyttet til informasjonssikkerhet

blir utsatt til gjennomføringsfasene av prosjekter og løses etter

hvert.

Informasjonssikkerhet blir tatt hensyn til i prosjekter, og deltakerne

er alle autoriserte til å kunne gjøre jobben. Prosjektene skal følge

etablerte prosedyrer, regler og relevant lovverk.

Når nye prosjekter planlegges blir informasjonssikkerhet vurdert i

startfasen. Risiko- og sårbarhetsanalyser gjennomføres og

informasjonssikkerhet integreres og testes løpende.

Prosjektgruppene har forståelse for at informasjonssikkerhet er av

kritisk betydning.


Liste over spørsmål

18


Eksempel på skjema (Skala fra 1.. til 5)

Spørsmål

Patologisk Ideell Regelstyrt


Agenda





Prosessen og organisering

Vurdering og

forslag til tiltak

(SjekkIT)

Søkekonferanser

(1-2 dags samling

med aktørene)

Håndtering -

Prioritering og

planlegging av

tiltak

Håndtering -

Sette i verk tiltak

Håndtering -

Evaluering av tiltak

Refleksjon og

læring av

endringene


Sikkerhet kan forbedres via kultur Ref: Antonsen S., Ramstad L. and Kongsvik T., (2007) “Unlocking the organization: Action research as a

means of improving organizational safety”, Safety Science Monitor, vol. 11(1).


Virksomhet

Kunde

Tjenester

Kunder

Internt Marked

Underleverandør

Underleverandør

Underleverandør

Virksomhet

Virksomhet

Oppsplitting

Involver nettverket


Minimum - bruk av SjekkIT

½ dag Prosjektdefinisjon og Organisering –

Fokusområder, deltakere, indikatorer for måling

½ dag

Gruppe-

diskusjon

Vurdering av sikkerhetskultur/sikkerhet via utfylling av

spørreskjema og diskusjon i grupper.

Identifisere tiltak & Enighet om tiltak.

½ dag Oppfølging av indikatorer og tiltak.

Endring/utvikling av sikkerhetskultur kan ta lang tid og krever ledelssesfokus


Bruk av SjekkIT

SjekkIT som egen separat aktivitet – årlig innsamling av

data (skjema/ eller web basert – mange muligheter)

Integrasjon opp mot andre prosesser/aktiviteter

Risiko og sårbarhetsvurdering (Grovanalyse) eller andre

forbedringstiltak hvor sjekkIT er integrert


Fokus på indikatorer

Indikatorer Refleksjon

Måling Forbedringsprosess

Iverksette

tiltak

Identifisere indikatorer og sørg for at de kan måles og følges opp

Arenaer for refleksjon:

Iverksette tiltak:


Agenda





Sikkerhetskultur i fokus

Sikkerhetskultur er et viktig perspektiv for å forstå og

forbedre sikkerheten

Sikkerhetskultur kan avdekkes (forstås) og forbedres - Inspirert av tradisjonen fra E.Schein/MiT (1992)

Forbedring av sikkerhetskultur krever gode møteplasser

og prosesser som fokuserer både på struktur og kultur - inspirert av norske aksjonsforskere Levin (2007)

SjekkIT kan bidra


2010

Sikkerhetskultur – uønskede hendelser


Spørsmål / Diskusjon


Referanser

ACSNI (1993). Advisory Committee on the Safety of Nuclear Installations. Study Group

on Human Factors, Third Report: “Organising for Safety”. HSMO, London.

Antonsen S., Ramstad L.R, Kongsvik, T. “Unlocking the Organization: Action Research as

Means of Improving Organizational Safety” Safety Science Monitor, Issue 1 2007, Article

4, Vol 11 (tilgjengelig åpent på web)

Hollnagel, E. Woods D., Leveson N. (2006) “Resilience Enginering” Ashgate

Hudson, P. and van der Graaf, G. C. (2002). “Hearts and Minds: The status after 15

years Research.” Society of Petroleum Engineers (SPE 73941) International conference

on HSE in Oil and Gas Exploration and production. Kuala Lumpur 20-22 March 2002.

IEC 62443 (2008). “Security for industrial process measurement and control - Network

and system security”, ISO/IEC 2008. - se også ISA-99.01.01 (etc..)

Klev, R. and Levin, M. (2009). “Forandring som praksis: Læring og utvikling i organ-

isasjoner” Fagbokforlaget.

Kotter (1996) – “Leading Change” Harvard Business School Press

Lopez, Wolthusen, and Setola. “Advances in Critical Infrastructure Protection:

Information Infrastructure Models, Analysis, and Defence”; Volume no. 7130 in 'Lecture

Notes in Computer Science' Springer-Verlag

©[email protected]


Referanser ISO/IEC 27001 (2005). “Information technology -- Security techniques -- Information

security management systems – Requirements”, ISO.

Johnsen, S. O., Hansen, C. W., Nordby, Y., Dahl, M. B.; “How to measure and improve

IT safety and security culture (CheckIT)”, Proceedings from Asia Pacific Conference on

Risk Management and Safety 2005, ISBN 962-442-279-6, pp. 292-302., ligger ute på

www.sintef.no/SjekkIT/

Johnsen, S.O., Veen, M. (2011). “Risk Assessment and Resilience of Critical

Communication Infrastructure in Railways”. In Journal of Cognition Technology & Work,

DOI 10.1007/s10111-011-0187-2.

Norwegian Petroleum Authority - PSA (2010) http://www.ptil.no/prosessikkerhet/ny-

rapport-om-sikkerhetssystemers-uavhengighet-article7292-98.html

NTSB (2005) National Transportation Safety Board (2005). “Safety Study – Supervisory Control and Data Acquisition (SCADA)”. Report NTSB/SS-05/02.

Schein E.H. (1992). “Organisational Culture and Leadership”, Jossey-Bass.

SafeCulture - UIC & RSSB - www.safeculture.sintef.no

Westrum R.(1991) “Cultures with requisite imagination”. In J. Wise, P. Stager & J.

Hopkin (Eds), Verification and validation in complex systems. New York: Springer

©[email protected]

http://www.sintef.no/SjekkIT/

http://www.ptil.no/prosessikkerhet/ny-rapport-om-sikkerhetssystemers-uavhengighet-article7292-98.html














Andre lysark i reserve


SjekkIT og scenariediskusjon

1. Relevante scenarier

2. Beskrivelse 3. Kritiske hendelser


Indikatorer fra oljebransjen (Ref PSA/RNNS 2009)


Risk communication and traffic accidents

1961 1962 1963 1964 1965 1966 1967 1968 1969 1970 1971 1972

Adams (2005)

Teknologi og samfunn RIO 12.-14.April 2010 Proactive Indicators

Proactive indicator

Proactive Indicator – A simple metric (KPI, signal,..)

enabling us to act before a situation becomes a

source of crisis – a risk influencing factor.

Example : "Low fly the swallows, rain to follow.”


(Reported minor) accident rates / 105 flight hours

US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel)

0

0,5

1

1,5

2

2,5

3

3,5

4

4,5

5

Un

ited

air

lin

es

US

air

ways

Co

nti

nen

tal

No

rth

west

Delt

a

air

lin

es

Am

eri

can

Air

lin

es

So

uth

west

Air

lin

es

Am

eri

ca

West

Fro

nti

er

Air

lin

es

Jet

Blu

e

Air

lin

es

Major Airlines Low Cost

1997

1998

1999

2000

2001

2002

2003

2004

2005

2006


Fatal Accident rates / 105 flight hours

US Majors Vs Low Cost 1997-2006 (HRO Conf. 2007- Hollnagel)

00,020,040,060,080,1

0,120,140,160,18

Un

ited

air

lin

es

US

air

ways

Co

nti

nen

tal

No

rth

west

Delt

a

air

lin

es

Am

eri

can

Air

lin

es

So

uth

west

Air

lin

es

Am

eri

ca

West

Fro

nti

er

Air

lin

es

Jet

Blu

e

Air

lin

es

Major Airlines Low Cost

1997199819992000200120022003200420052006


Generelt – endringer (mindre og større) - Følges opp via dobbelkretslæring

Enkelkretslæring vs Dobbelkretslæring,

ref: Argyris og Schön (1974)


Er risikobildet kjent og komplett?


God “Sikkerhetskultur” gir lavt antall uhell

og hendelser Itoh og Andersen (2004) :

Motivasjon og holdninger var nøkkelfaktorer for å forklare

god sikkerhet (korrelasjon opp mot hendelser og ulykker)

Korrelasjon med:

Grundig og god opplæring,

Ledelsen og deres fokus på sikkerhet

Enkle og gode prosedyrer og sjekklister utarbeidet I

samarbeid med ansatte

Arbeidsbelastning


Ulykker – dårlig sikkerhetskultur?

Chernobyl,

1986

Piper Alpha, 1988

Chernobyl

Aksept for å avvike fra rutiner og regler

Tro på at en alltid kan styre teknologien

Fokus på produksjon vs sikkerhet

Piper Alpha – 167 døde

“It is essential to create a (...) culture in which

safety (...) is accepted as the number one

priority” (Cullen 1990: 300)

The accident can be said to

have flowed from deficient

safety culture (IAEA 1992: 23)

Leveransesikkerhet i integrerte operasjoner - Difi...Teknologi og samfunn 5 Sikkerhetskultur –...

Documents

Transcript of Leveransesikkerhet i integrerte operasjoner - Difi...Teknologi og samfunn 5 Sikkerhetskultur –...