Designdrevet innovasjon – fremtidens sikkerhetsstyring?

Det som rulles ut nå blir bare tredd ned over hodet på brukerne»

Det var kommentaren som fikk diskusjonene i gang. Sikkerhetsfolk og designere spiste lunsj over samme bord da dette innspillet kom. Hva kan vi gjøre med det? Er det mulig å koble to fagområder som står så langt fra hverandre og se på mulige alternativer for å ivareta brukerne ved implementering av sikkerhet i organisasjoner?

Absolutt, tenker vi nå.

Vi tror sikkerhet kan iverksettes i organisasjoner på en mer effektiv måte dersom man henter de grunnleggende prinsippene fra designdrevet innovasjon. En slik tilnærming vil sørge for at brukeren, de ansatte, settes i sentrum og systematisk involveres gjennom hele prosessen, både når det skal etableres tekniske sikkerhetstiltak og når arbeidsprosesser og instrukser skal defineres.  Det vil i praksis bety mindre fokus på å kopiere og håndheve rigide regelverk, og mer fokus på behov, adferd, hyppige iterasjoner, prototyping, testing og kontinuerlig forbedring.

Nettopp derfor er vi overbevist om at vi vil se gevinster som tydelig forsterker en organisasjons sikkerhet- og etterlevelseskultur, også for organisasjoner som opererer i bransjer preget av strenge reguleringer. En slik tilnærming vil kunne bidra til økt sikkerhet og dermed økt innovasjonskraft.

Hvorfor?

Sikkerhet er en av de største utfordringene vi har i vår digitaliserte verden. Vi ser at stadig flere opplever å bli angrepet, taper store finansielle verdier og får sensitiv informasjon på avveie. Dette fører til kundeflukt og svekket tillit. Samtidig har vi stadig flere lovpålagte sikkerhetsstandarder, nasjonale veiledninger, organisatoriske prosesser og rutiner, og svært mange sikringstiltak i teknologilaget. Likevel fremstår sikkerhet som en stadig større utfordring for mange, noe som i verste konsekvens øker distansen mellom teknologi og mennesker, og gjør det vanskeligere å utnytte potensialet til digitalisering og innovasjon fullt ut.

Internasjonale sikkerhetsstandarder og nøye utarbeidede nasjonale veiledningsmaterialer er ikke «one-size-fits-all» – løsninger. Problemet er bare at de ofte blir brukt slik. De blir implementert i organisasjoner uten forståelse av menneskene som jobber der og deres arbeidshverdag. Når de ansatte skal etterleve det som ofte oppleves som rigide og regelstyrte kontroller og rutiner, får de ofte store utfordringer knyttet til arbeidseffektivitet, målkonflikter og manglende risikoforståelse.

Organisasjoner mislykkes ofte i å etablere tiltak og prosesser som sømløst innlemmes i miljøet folk jobber. Det er nettopp her vi tror at designdrevet innovasjon vil være riktig vei å gå for å løfte måten implementerer sikkerhet på.

Designdrevet innovasjon – hva kan vi dra nytte av?

Designdrevet innovasjon handler om å løse virkelige problemer for virkelige brukere. Dette gjør man ved å involvere brukeren i hele prosessen, og at man forstår deres motiver og behov. Så lager man de beste løsningene tilpasset brukerne gjennom kontinuerlig brukertesting, justering og forbedring. Dette gjør at løsningene som skal implementeres blir mer gjennomarbeidet og treffer brukerne, risikoen blir redusert og resultatet blir bedre.

 

IBM Design Thinking The Loop

Det er noen punkter fra designdrevet innovasjon vi særlig mener vil gi styrke til å sikre verdier og redusere risiko. De bør være sentrale når man skal starte sikkerhetsprosjekter og implementere sikkerhet i organisasjoner.

1. Empati for brukeren

Designdrevet innovasjon begynner med empati for brukeren. Dette betyr ikke bare å tenke på brukerens funksjonelle og tekniske behov, men å faktisk forstå deres behov gjennom å observere og få innsikt i atferd, følelser og forstå hvordan ting fungerer i deres miljø.

Vi vet at i sikkerhet er mennesket ofte ansett som det mest sårbare aspektet, men likevel snakkes det ikke om brukersentrert sikkerhet. Sikkerhet er fortsatt noe som blir pålagt en ansatt. De blir som regel bedt om å gjøre ekstra steg i arbeidet sitt, uten å forstå hvorfor og uten å ha medvirket i utformingen av arbeidsrutinene. Vi ser sikringstiltak som er så rigide, komplekse og lite brukervennlige at folk rett og slett velger å unngå dem.

Vi trenger å se på hvordan vi kan lage løsninger for sikkerhet som sømløst blandes inn i miljøet folk jobber i, som har empati med deres problemer og som tar hensyn til deres motivasjon. Vi tror at dette vil gi store gevinster i form av økt forståelse for sikkerhet og dermed økt sikkerhetskultur i organisasjoner.

1. Ha en helhetlig tilnærming til løsning, ikke bare fokusere på problemet

I designdrevet innovasjon har man en helhetlig tilnærming. Utfordringer kan ikke løses isolert, men må sees i sammenheng med eksisterende og fremtidige løsninger.

For at en organisasjon skal kunne prioritere og handle i pressede situasjoner , er det viktig at man har en helhetlig oversikt over organisasjonen, interessentene , programmene og prosessene slik at dette ikke blir et uhåndterbart puslespill. Da vil man som organisasjon kunne agere raskt, legge om  rutiner og slik at sikkerheten ivaretas.

3. Teste, justere og forbedre

Designdrevet innovasjon er iterativ. Man bygger prototyper, tar bort det som ikke fungerer og gjør mer av det som fungerer. Dette gjøres for å sjekke ut ideer tidlig, lære og justere basert på tilbakemelding fra brukere.

I sikkerhetsverdenen benyttes ofte PDCA (Plan – Do – Check – Act) som tilnærming for å teste endringer i prosesser eller løsninger, men den forutsetter at du vet hva du vil oppnå på forhånd. Deretter planlegger du, utfører, sjekker og handler. I designdrevet innovasjon har man ingen plan i forkant, men gjør iterasjoner for å teste og lære underveis, før man starter på PDCA.

Fremtidens metode for sikkerhet og personvern?

Vi har sett noen klare tendenser i dagens sikkerhetsklima. Sikkerhet har for lengst kommet på agendaen på toppnivå hos de aller fleste organisasjoner. Mye grunnet at det er lagt ned et imponerende arbeid rundt bevisstgjøring, og at norske myndigheter gjennom å ta frem ledende nasjonale veiledere, både generelle og sektorspesifikke, har satt organisasjoner i stand til å etablere egne rammeverk for sikkerhetsstyring.

Det mange nå likevel observerer, er en stadig økende distanse mellom såkalte kravstillere på den ene siden, ofte representert av virksomhetsledelsen, sikkerhet- eller complianceledere, og de som skal utføre, følge og etterleve retningslinjene og styringsstrukturene i sitt daglige arbeid.  Det lages stadig nye arbeidsrutiner uten at de som faktisk sitter i prosessene inkluderes i utformingen av disse. Rutinene og sjekklistene ser ofte ut til å havne i en skuff. Brukerne vet ikke hvordan de skal ta dette inn i hverdagen og implementere i sine arbeidsprosesser, og ender ofte opp med å omgå rutinene for å jobbe effektivt.

Vi tror at ved å ta i bruk designdrevet innovasjon ved implementering av sikkerhet i organisasjoner, vil det kunne lages løsninger som i langt større grad setter brukerne i stand til å overholde sikkerhetsrutiner og prinsipper. Vår hypotese er at en slik metode vil fremme deres motivasjon og tilnærming til sikkerhet, og føre til at man går bort fra regelstyrte arbeidsprosesser og påtvungen endring til naturlig adopsjon av rutiner og kontroller, reelle adferdsendringer, økt sikkerhetskultur og dermed økt sikkerhet i organisasjoner.