Sikringsrisikoanalyse: Bruk rett verktøy til rett jobb

Av Roy Stranden 19. sep. 2017

VTS-verktøy-sikringsrisiko-568559-edited.jpgSom håndverker vet du at verktøyet betyr noe. Du kan male en vegg med en hammer, og du kan få inn en spiker med en malerkost, men det er ikke veldig praktisk. Gode håndverkere velger rett verktøy til jobben - det gjelder også de som skal utføre en risikoanalyse.

Jeg er ingen tilhenger av risikoanalysemetoder som hevder at det er så enkelt at selv bestemor kan gjøre det. Man må ha et visst nivå av kunnskap, eller tilgang til mennesker som har dette nivået. Hvis ikke blir resultatet helt meningsløst for dem som skal bruke analysen.

ROS vs. VTS

En sikringsrisikoanalyse er en måte å opplyse en problemstilling på slik at man kan ta en god beslutning. Hvilken metode man bruker for å oppnå dette må velges ut fra hva du ønsker å belyse.

Hvis problemstillingene dreier seg om ulykker som følge av energi ute av kontroll; flom, ras, noe faller sammen osv., bruker du den metoden som gir deg mye informasjon om dette. ROS-analyse (Risiko- og sårbarhet) er for mange den fortrukne metoden i slike typiske safety-sammenhenger.

Når man går i dybden av stoffet, må man erkjenne at det er en forskjell når truslene er villede, ondsinnede handlinger. For å forstå dette bildet riktig og komme ut med et sett veltilpassede tiltak mener jeg at VTS (Verdi-Trussel-Sårbarhet)-analyse er det best egnede verktøyet.

Les mer: Er risikoanalysen din tilpasset dagens kriminalitetsbilde?

Forvirrende sannsynlighet

Hva gjør ROS-analysen mindre egnet til å beskrive villede handlinger? Etter min oppfatning er det sannsynlighetselementet som skaper forvirring. Å vurdere sannsynligheten for å bli angrepet er svært vanskelig. Bruk av sannsynlighet forvirrer også ofte mottakeren fordi vedkommende ikke ser dette parameteret i rett sammenheng. La oss se på et eksempel:

PST publiserer hvert år en nasjonal trusselvurdering der de vurderer truslene innenfor sitt ansvarsfelt. La oss si at for ett av disse områdene er PSTs vurdering at trusselen er lav. Da er det lett å slå seg til ro med at det er lite sannsynlig at man bli utsatt for eksempelvis et terrorangrep. To mulige forutsetninger kan ligge til grunn for PSTs vurdering: 

  1. Man har god oversikt over potensielle aktører med deres kapasiteter og intensjoner og dermed god kontroll
  2. Man vet ikke om det finnes noen aktører med intensjon og kapasitet fordi man ikke har tilstrekkelig etterretning eller oversikt. 

Altså kan to diametralt motsatte forutsetninger ligger til grunn for den samme konklusjonen.

VTS-metodikken bryter ned prosessen på en måte som reduserer muligheten for at analytikeren går i denne fella. Slik reduseres også muligheten for tolkningstrøbbel for mottakeren.

ROS-analyse kan også brukes overfor villede handlinger, men da skal du være en meget kompetent og erfaren analytiker for å unngå å gå deg vill.

Solid faglig forankring

VTS-metodikken er et verktøy som bygger på NS 5830-serien, som brukes av stadig flere offentlige og private virksomheter. Standarden er utviklet av blant annet Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet, Forsvarsbygg, Næringslivets sikkerhetsråd, Statoil, med flere.

Jeg ser ofte at bestillerkompetansen er mangelfull hos virksomhetene som etterspør risikoanalyse. Om man bruker eksterne konsulenter kan det derfor være vanskelig å avgjøre om kvaliteten på analysen kommer til å bli tilfredsstillende.

Ved å ha et verktøy som VTS-analyse internt i virksomheten vil man sikre at kvaliteten holder en etablert standard i tillegg til at innholdet forblir i virksomheten etter at konsulentene er ferdige med arbeidet. Det vil da være lett for virksomheten og holde innholdet oppdatert.

Det er imidlertid viktig å bemerke at innholdet som legges inn krever kompetanse og kunnskap om både virksomheten, trusler og sikringstiltak. Det vil ikke endres selv om man kjøper et verktøy.

Les mer: Risikoanalyse handler ikke først og fremst om avanserte digitale verktøy

Rett verktøy

Jeg vil ikke oppfattes som en evangelist som hevder at VTS-analyse er den eneste måten å gjøre risikoanalyse på. Mitt anliggende er å få virksomhetene til å bruke verktøyet som passer oppgaven. Nå har du fått et nytt ett i verktøykassa di.

 

Takler virksomheten din en uønsket hendelse? Ta Beredskapstesten her!

 

Temaer: Risiko, VTS-analyse, Sikringsrisiko


Roy Stranden's photo

Av: Roy Stranden

Roy er daglig leder av Proakt AS og jobber som sikkerhetsdirektør i Schibsted Media Group. Roy har i tillegg til over 25 års erfaring innen sikkerhet, en akademisk utdanning innen sikkerhet, risiko, beredskap, etterretning og terrorisme, i tillegg til å være sertifisert som CPP og CISM. Roy er også Fellow of the Security Institute.

Epost

Kommentarer

Søk i bloggen

One Voice AS

One Voice er en teknologibedrift, etablert i 2006, med hovedkontor i Trondheim. Vi leverer programvareløsninger innen blant annet risiko- og sårbarhetsanalyser, beredskapsplanlegging og hendelse- og krisehåndtering. Vårt hovedprodukt CIM® er verdensledende innen krisehåndtering, og omtales som det nasjonale beredskapssystemet.

Besøk onevoice.no

Beredskapstesten

Siste innlegg