Behovet av att skydda sina anställda
Att skydda sina anställda från personlig eller professionella faror är en prioritet för de flesta arbetsgivare. I dagens samhällen handlar detta inte längre bara om att brand- och olyckssäkra lokaler: det handlar lika mycket om att säkerställa att inte fel människor kommer in på arbetsplatsen eller att anställda inte riskerar utsättas för olovlig påverkan av yttre krafter.
Den 18 oktober 2018 höll ToFindOut AB ett frukostseminarium tillsammans med Maria Gustafsson och Andreas Gustafsson på Modum AB på detta tema. Maria och Andreas har båda en mycket gedigen bakgrund som både poliser i yttre tjänst och med flera utrednings och lednings-positioner bakom sig. Modum arbetar idag med utredningar, sårbarhetsanalyser och ledningsfrågor inom säkerhetsområdet.
Hur jobbar den organiserade brottsligheten?
Den organiserade brottsligheten arbetar genom att försöka identifiera företag eller organisationer där man kan nästla sig in och enkelt komma över antingen pengar eller information som kan omsättas i vinst: ett typexempel på det senare kan vara att ett företags attestanter arbetar i stuprör och litar på att den andra gör kontroller, vilket gör företaget sårbart för falska fakturor. Som Modum påpekar så skall man inte heller glömma risken för industrispionage, från andra verksamheter eller främmande makt.
Sättet den organiserade brottsligheten identifierar personer de bedömer som möjliga att rekrytera varierar. Till skillnad från vad som ofta tros så är sällan mutor eller hot metoder som används i en inledning: istället erbjuds hjälp, stöd och bekräftelse i någon form. De personer som blir innästlade tjänar sällan själva pengar och förstår ofta inte vad som har hänt förrän det är för sent.
En av deltagarna lyfte här hur hennes företag hade arbetat med systematiska övningar för den typ av situationer som kan uppstå vid företagsinfiltration. Den specifika övningen handlade om s.k. VD-brev, där VD: s email kapas för att sedan användas i syfte att begära penningtransaktioner till av kriminella kontrollerade konton. VD-brev är en allt vanligare metod för bedragare, där såväl cyberkriminalitet (för att komma åt mailen) som infiltration (för att förstå organisationen) samverkar. Som Modum påpekar så visar detta på behovet av sammanhållen säkerhet
Hur hanterar man avvikelser och när bör man upprepa kontroller?
Den efterföljande diskussionen fokuserade huvudsakligen på de strukturella aspekterna och behovet av en holistisk approach där en trygg företagskultur med högt i tak kombineras med ett utökat säkerhetstänkande. Modum framhöll här att det inte bara handlar om system, utan att det är lika viktigt att anställda känner att de kan lyfta frågor som har med dessa risker att göra. De två huvudfrågorna var:
Kan Modum eller ToFindOut ge tips eller råd på vilken typ av avvikelser som är acceptabla vid en bakgrundskontroll?
ToFindOut: s generella policy är att avvikelsehantering måste utgå från företagets egen värdegrund och policy samt från aktuella lagkrav. Viktigt att komma ihåg är alltid att syftet med en bakgrundskontroll inte bara är säkra ekonomiska värden: målet för ToFindOut är att bygga trygga arbetsplatser. Ansvaret och befattningen och dess relevans för avvikelsen är också viktigt: ekonomiska problem är ofta en dragningskraft för organiserad brottslighet, varför den personliga ekonomin är A och O vid en bakgrundskontroll.
Hur ofta bör man upprepa kontroller på redan anställda?
Så ofta om möjligt är Modums svar på denna fråga. Detta har två skäl: för det första kan man tidigt upptäcka individer som står i riskzonen, för de andra har denna typ av kontroller ett signalvärde som meddelar den organiserade brottsligheten att just detta företag är svårt och riskfyllt att försöka infiltrera. ToFindOut har vid ett tidigare Client Advisory Board presenterat de juridiska aspekterna bakom denna typ av kontroller. Igen avgörs tidsaspekten av företagets egna bedömningar om riskläget. Inom vissa branscher finns det satta lagkrav på hur ofta kontroller måste utföras: inom andra branscher finns det krav på återkommande kontroller men ingen reglering av hur ofta de bör genomföras. Generellt sett bör man dock nog genomföra återkommande kontroller varje år, i alla fall för nyckelpositioner.
Efter denna intressanta diskussion tackade ToFindOut Modum för ett mycket intressant föredrag. Vissa av deltagarna såg behovet av att fortsätta denna diskussion i mer workshopsliknande sammanhang varför vi kommer att bjuda in till denna typ av intimare erfarenhetsutbyte i framtiden. ToFindOut vill därmed tacka alla deltagare för att de kom och för deras intressant bidrag till diskussionen som följde.