#001 Menneskelige feil

Erlend Andreas Gjære | 27 February 2019

This post is written in Norwegian, and has not been translated to English yet.

Vi hører ofte om "menneskelig feil" som årsak til også informasjonssikkerhetshendelser. Men det er nyttig å gå litt i dybden på hva som egentlig er en menneskelig feil.

For det er nemlig slik at det finnes forskjellige typer, i hvert fall i følge forskeren James Reason, fra England. Han har skrevet om ulike typer, blant annet skiller han veldig tydelig på ubevisste feil og bevisste feil.

Men også innenfor de to kategoriene her kan vi skille litt på forskjellige typer hendelser. Se videoen (skru gjerne på undertekster med CC-knappen), eller les videre.

Ubevisste feil

  • Glipp: Vi gjør en handling såpass ofte og rutinemessig, det krever så lite oppmerksomhet fra oss, at plutselig så gjør vi det litt feil. Og en glipp kan skje, dette er kanskje bare noe vi må regne med.
  • Forglemmelse: Denne typen ligner mye på glipp. Men her har vi gjerne et litt mer bevisst forhold til hva vi gjør, men vi glemmer et bestemt steg i den utførelsen vi skal gjennom.
  • Rutinesvikt: Vi har en rutine som gjerne forteller oss hvordan oppgaven skal utføres, men likevel så er ikke rutinen helt tilstrekkelig. Den fører kanskje til misforståelse, folk følger den på feil måte slik at resultatet ikke blir som ønsket, og dermed fører til en hendelse.
  • Kunnskapsmangel: Du blir rett og slett satt i en situasjon hvor du verken har kunnskap eller erfaring fra før, og det finnes ingen prosess eller rutine som kan hjelpe deg til å håndtere situasjonen. Dermed blir du rett og slett overlatt til egen improvisasjon, og da vet vi at det lett kan skje feil.

Bevisste feil

Så har vi de typene som går på det bevisste, og den aller første er veldig skummel, fordi den har veldig store ringvirkninger.

  • Rutinemessige regelbrudd: Disse finner vi der hvor man har en rutine som er forsøkt implementert, men fungerer dårlig.  Folk har funnet ut at det rett og slett er bedre å la være å følge denne rutinen. Dette kan handle om å få jobben gjort, men slikt skaper dessverre også en forakt for andre regler. Så det er bedre å ikke ha noen regel enn en regel som fungerer veldig dårlig.
  • Situasjonsavhengige feil: Også mulig å kalle snarveier. Vi ser og vet hva som er riktig måte å gjøre det på, men situasjonen inkluder tidspress og lignende kan føre til at vi tar en snarvei. Dette kan handle om indre faktorer i virksomheter, for eksempel hvordan vi verdsetter raske leveranser foran informasjonssikkerhet.
  • Unntakshåndtering: Dette kan vel kalles menneskelig feil, men det kan også kalles kalkulert risiko. Dette handler om at hvis vi ser at vi ikke gjør noe, så er sannsynligheten for negative konsekvenser større ved å ikke gjøre noe, enn ved å velge en handling som innebærer en viss risiko.  

Ingen feil alene

Vi vet ellers fra forskningen at det er ingen ulykker som skyldes én feil. Vi har ofte de utløsende faktorene, og det er ofte her vi koker ned til en menneskelig svikt, den menneskelige feilen.

Men samtidig så har vi gjerne også latente, underliggende feil, enten dette er på teknologi eller på andre personer, roller eller ansvarsforhold i virksomheten som har sviktet. Kombinasjonen av disse her er gjerne det som fører til en hendelser.

Og det er derfor vi må arbeide litt strukturert med menneskelige feil, ikke bare kalle det menneskelige feil, men forstå hva det er. For det vil hjelpe oss med å implementere mye mer effektive tiltak for de risikoene vi har.

 


Menneskelige feil tilknyttet håndtering av e-post?

Lær hvordan vi motvirker dette med MailRisk.

See all posts →