Tænk. sikkerheden med. Et best practice beredskab til danske virksomheder

Transkript

1 Sådan bruger du denne publikation: Klik på menupunkterne og spring direkte til emnerne. Tænk sikkerheden med Du kan se en uddybende indholds fortegnelse under menupunktet Indhold, hvorfra du også kan klikke dig til emnerne. Forskellige steder forekommer! hold musen henover ikonet og læs mere. Vi henviser flere gange til publikationer på forskellige hjemmesider. Derfor anbefaler vi, at du er online, hvis du vil benytte dig af de links, som vi henviser til. Et best practice beredskab til danske virksomheder Menu Vejledning Forord Indhold En beredskabsplan er nødvendig Begynd internt Virksomhedens sikkerhed trin for trin Krisehåndtering Genetablering Tænk sikkerheden med xx Publikationer og mere viden

2 Tænk sikkerheden med et best practice beredskab til danske virksomheder Denne webpublikation er blevet til på baggrund af et samarbejde mellem DI og Politiets Efterretningstjeneste (PET) om at ruste dansk erhvervsliv til mødet med nye globale trusler. Den er bl.a. baseret på et virksomhedsstudie, hvor 25 danske virksomheder er interviewet om deres sårbarhed, robusthed og deres umiddelbare vurderinger af eventuelle trusler mod virksomheden og medarbejdernes sikkerhed. Stadig flere danske virksomheder engagerer sig på nye og risikofyldte markeder, der sikrer forretningen nye markedsandele, konsolidering og potentiale for ekspansion og vækst. Men virksomhedernes strategiske beslutninger om at være på nye markeder må også balancere hensynet til det økonomiske potentiale med virksomhedens sårbarhed og robusthed over for nye trusler. Terrortrussel mod Danmark Center for Terroranalyse (CTA) hos PET vurderer, at der fortsat er en alvorlig terrortrussel mod Danmark. Særligt genoptrykningen af tegningerne af profeten Muhammed i februar 2008 har betydet, at Danmark og danske interesser anses for at være et prioriteret terrormål blandt militante islamister. Der er en betydelig trussel mod danskere og danske interesser visse steder i udlandet, hvor militante islamistiske grupper er aktive. Det gælder især i visse lande i Nord-, Vest- og Østafrika, Mellemøsten samt i Pakistan og Afghanistan. DI og PET anbefaler derfor, at virksomheder supplerer den traditionelle markedsanalyse med en analyse af nuværende og forventelige fremtidige sociale, politiske og økonomiske forhold. Og at virksomheder tænker sikkerheden med som en vigtig og væsentlig del af virksomhedens forretningsgrundlag. Forebyggelse er sund fornuft Det behøver ikke koste en formue at forebygge trusler og risici og at udforme beredskabsplaner. Med sund fornuft kan du og din virksomhed nå langt med at kortlægge jeres sårbarheder og derefter tage de nødvendige forholdsregler. Ledelse og medarbejdere kan klædes på, så alle i virksomheden har en idé om, hvad der skal gøres, hvis en kritisk hændelse opstår. God arbejdslyst. Tænk sikkerheden med Indledning Indhold 2/44

3 Indhold En beredskabsplan er nødvendig 4 Begynd internt 5 Hvad er der behov for 5 Hvem skal du samarbejde med 6 Organisering: Hvem involveres i virksomhedens beredskab 7 Det strategiske niveau 7 Det koordinerende niveau 8 Det operative niveau 9 Forebyggende sikkerhed 10 Virksomhedens sikkerhed trin for trin Trusler og sårbarheder 12 Tyveri og misbrug af information 13 Tyveri af viden 14 Informationssikkerhed 15 Kidnapning (rejsesikkerhed) 17 Terrorisme 19 Fysisk sikring 20 Tvivlsomme samarbejdspartnere 22 Korruption 24 Produktions- og markedsforhold 25 Politisk uro 26 Eksportkontrol Konsekvens for virksomheden 28 Seks typer af tab Mest sikkerhed for pengene 31 Overvejelser 31 Hvad skal sikres 31 Forsikringer Implementér sikringsforanstaltninger 33 Skab en sikkerhedskultur 33 Informér om sikkerhed 34 Fokus på konsekvenser Regelmæssig evaluering og justering 35 Krisehåndtering 37 Hvem gør hvad, under en krise 37 Evakuering 38 Hvem skal kontaktes 38 Genetablering 39 Prioritér genopretningen 39 Genetablering af it-systemer 41 Genetablering af produktions- og kommunikationsudstyr 41 Genetablering af fysiske lokaliteter 41 Krisekommunikation 42 Intern kommunikation 42 Ekstern kommunikation 43 Hotline til krisehåndtering 43 Publikationer og mere viden 44 Publikationer fra DI og PET 44 Publikationer fra PET 44 DI s publikationer 44 Hvor kan du få mere viden 44 Tænk sikkerheden med Indhold 3/44

4 Mange ansatte har en lidt nonchalant En beredskabsplan er nødvendigholdning til sikkerhed, og det gør mit arbejde svært. Det er ikke sjovt altid at En beredskabsplan er nødvendig, fordi den: 1 Forebygger og minimerer risici. 2 Giver overblik over virksomhedens sårbarheder og gør det lettere at tænke helhedsorienteret omkring sikkerhed. 3 Sikrer at ledere og medarbejdere handler hensigtsmæssigt i de hektiske timer, der følger umiddelbart efter en hændelse. 4 Sikrer at afbrydelser i driften bliver så ubetydelige som mulige, så virksomheden hurtigt kan genoptage driften. 5 Skaber en positiv psykologisk effekt hos virksomhedens medarbejdere. Det skaber tryghed i hverdagen at vide, at virksomheden har en plan for, hvordan kidnapninger, tyveri, brand, personangreb, mistet viden, chikane eller andre typer trusler, katastrofer eller ulykker skal håndteres. 6 Giver konkurrencefordele i forhold til kunder, leverandører og andre samarbejdspartnere, der i stigende grad efterspørger dokumentation for, at virksomhedens beredskab er i orden. være den, der står med en løftet pege 7 Er også imagepleje. En virksomheds mangelfulde eller ikke-eksisterende beredskab kan Når sikkerhed er søjleopdelt finger og siger: Pas nu på! medføre skade på omdømmet. Sikkerhedsansvarlig i I en DI dansk og PET s virksomhed. virksomhedsstudie fortæller sikkerhedsansvarlige fra 25 danske virksomheder, at deres 8 Kan være garantien for forsikringsdækning. I Storbritannien er flere forsikringsselskaber største udfordring er at tænke virksomhedens forskellige sårbarheder sammen med virksomhedens begyndt at stille krav til virksomhederne om at have et katastrofeberedskab. Og at et sådant beredskab. En anden udfordring er at øge medarbejdernes og ledelsens lydhørhed over for budskaber er en forudsætning for dækning af visse skader. De krav pålægges endnu ikke virksomheder i om sikkerhed. Danmark. 9 Kan betyde nedsatte forsikringspræmier. Flere danske forsikringsselskaber bekræfter, at man med etablering af et fornuftigt beredskab kan forhandle sig til en betydelig reduktion i præmierne. Ü Betyder at virksomheden lever op til Nørbyudvalgets anbefalinger om god selskabsledelse, hvor risikostyring (Risk Management) nævnes blandt et af hovedområderne. Nør bykomiteens anbefalinger om god selskabsledelse findes på og er senest opdateret i I en søjle-opdelt sikkerhedsorganisation, det vil sige i en organisation hvor f.eks. it-afdelingen kun beskæftiger sig med it-sikkerhed, tænker de ansatte ofte ikke over, at sikkerhed gælder hele virksomheden, og ikke kun en afdeling. Når sikkerhed bliver søjleopdelt bliver det også sværere for ledelsen at prioritere ressourcer og at sikre gennemskuelighed. Virksomheder har en opgave i at tænke på tværs af organisationen, hvad angår sikkerhed og integration af sikkerhedshensyn i den enkelte medarbejders arbejdshverdag. Tænk sikkerheden med En beredskabsplan er nødvendig Indhold 4/44

5 Begynd internt Her er nogle overvejelser, du kan gøre dig, inden du begynder at udforme en beredskabsplan: > > Hvilket beredskab er der behov for? > > Hvem skal du samarbejde med? > > Hvordan organiserer I jer internt i virksomheden? Klik på de enkelte links for at gå direkte til emnerne. Hvad er der behov for På et strategisk niveau skal du beslutte, hvilke forebyggende initiativer og hvilken type beredskab, virksomheden har behov for. Det afhænger bl.a. af virksomhedens størrelse og hvilke markeder, I opererer på. Virksomheder som har flere lokaliteter enten rundt om i Danmark eller datterselskaber i udlandet skal tage stilling til, i hvor høj grad et beredskab kan koordineres centralt: > > Skal de forskellige selskabers beredskab køres sammen og koor dineres? > > Skal de udformes efter samme skabelon? > > Eller skal de betragtes som selvstændige opgaver for hver enkelt enhed? Hvor kommer sikkerheds kulturen fra? I DI og PET s virksomhedsstudie har flere virksomheder produktion i udlandet. Globale aktiviteter kræver en sikkerhedstænkning, som er afhængig af hvilket land, der produceres i. En dansk opfattelse af sikkerhed kan ikke nødvendigvis importeres til andre lande, da tilgangen til og lovgivning om brug af vagter, hegn, uniformering, brandsikring etc. kan variere betydeligt. Der kan også være forskellige forsikringshensyn at tage. Flere virksomheder anbefaler, at den lokale ledelse er i dialog med myndighederne i de enkelte lande. Overordnede anbefalinger og information kan komme fra det danske hovedkontor. Men i sidste ende bør beslutninger og initiativer være lokale og tilpasses den lokale sammenhæng og kultur. Tænk sikkerheden med Begynd internt Indhold 5/44

6 Overvej om du kan samarbejde med eksterne partnere om sikkerhed Hvem skal du samarbejde med Forebyggende sikkerhed handler bl.a. om, at du på et tidligt tidspunkt skal beslutte, om du ønsker at etablere et samarbejde med eksterne partnere om sikkerheden i din virksomhed. Det kan i mange tilfælde være relevant at tage kontakt til det lokale politi, brandvæsenet eller kommunens beredskabschef for at evaluere dele af virksomhedens beredskab. På den måde kan du også opnå et bedre kendskab til det statslige og kommunale beredskab. Nabovirksomheder kan i visse tilfælde indgå partnerskaber og etablere fælles foranstaltninger. Et samarbejde med en professionel sikkerhedsrådgiver er også en mulighed, du kan overveje, afhængig af virksomhedens behov og ressourcer. Tænk sikkerheden med Begynd internt Indhold 6/44

7 Organisering: Hvem involveres i virksomhedens beredskab Hvem og hvor mange der involveres i etableringen af virksomhedens bered skab afhænger af virksomhedens størrelse og struktur. Ansvar og opgaver kan fordeles på tre overordnede niveauer. Et beredskab sikrer overblik over virksomhedens sårbarheder, så de er lettere at håndtere og opstille foranstaltninger imod. Det strategiske niveau Ansvaret for etablering af virksomhedens overordnede strategi og prioriteringer for beredskabet. Det strategiske team uddelegerer opgaver og ansvar på de øvrige niveauer. Det er afgørende, at virksomhedens ledelse er repræsenteret på det strategiske niveau. Det strategiske team kan med fordel være identisk med virksomhedens bestyrelse. Det er virksomhedens øverste ledelse, der skal tage initiativ til forebyggende aktiviteter og beredskabsplaner. Ledelsens prioritering af sikkerhed er en forudsætning for, at en proaktiv tilgang til trusler og risici indskrives i både de strategiske overvejelser og i den operationelle virksomhedsdrift. Virksomhederne har beredskabsplaner på plads I DI og PET s virksomhedsstudie har stort set alle interviewede virksomheder procedurer for, hvem der tager sig af hvad i tilfælde af en krisesituation. Afhængig af situationen består dette set-up typisk af en repræsentant fra øverste ledelse, HR og medarbejderne, foruden chefen for den afdeling, der er involveret. I tilfælde af alvorlige hændelser retter virksomheden henvendelse til relevante professionelle rådgivere og myndigheder, hvis det skønnes nødvendigt. Organiseringen af risikostyringen bør naturligvis tilpasses virksomhedens struktur og den grad af autonomi, som de enkelte projekter eller datterselskaber i øvrigt normalt drives med. Tænk sikkerheden med Begynd internt Indhold 7/44

8 Det koordinerende niveau Det koordinerende niveau har ansvaret for den detaljerede planlægning og for at beredskabet er afprøvet og opdateret. Det koordinerende team står i spidsen for virk som hed ens beredskabsplan. Og for de aktiviteter, der siden hen skal sikre virksomheden mod uheld og i genetableringen efter en kritisk hændelse. Det koordinerende team sammensættes af ledere og senior- medarbejd ere med et godt overblik og et bredt kendskab til virksomhedens afdelinger og funktioner. De står med et stort ansvar under en katastrofe eller hændelse. Derfor er det vigtigt, at de har betydelige beføjelser, så deres valg og beslutninger ikke kræver godkendelse, inden de kan virkeliggøres. Virksomhedens direktør er et natur ligt valg til pladsen for enden af bordet, når det koordinerende team mødes. Alternativt kan man udpege personalechefen eller virksomhedens sikkerhedsansvarlige. Den koordinerende rolle består i: > > At etablere en fælles forståelse af risiko og risikoniveauer på tværs af organisationen. > > Opbygning af et system til løbende monitorering af trusler og risici i lande, som er specielt interessante for virksomheden. > > Etablering af et beredskab til håndtering af risici omkring sikkerhed og omdømme. > > At etablere et ensartet format for trussels- og sårbarhedsvurderinger. > > At instruere beredskabets involverede medarbejdere og gøre det klart for dem, hvilket ansvar de hver især har i forbindelse med identifikation, vurdering og håndtering af en risiko. > > Opretning af fora og kanaler til kommunikation mellem de involverede, herunder organisering af brainstorming i en identifikationsfase. > > At udvælge eksterne kilder til information, og at koordinere brug af ekstern bistand i øvrigt. Koordinatorens rolle er at indsamle for nødne informationer fra interne og eksterne kilder, at udforme lande vurderinger og anbefale konkrete handleplaner til ledelsen. Virksomheden kan også vælge en mere decentral organisering, hvor koordinatoren blot udformer et standardformat og en fælles systematik for f.eks. landevurderinger. Denne model giver område- eller landeansvarlige større indflydelse. Samtidig sikrer virksomheden den ensartethed, der er nødvendig for at kunne lave sammenligninger af forskellige markeder. Tænk sikkerheden med Begynd internt Indhold 8/44

9 Det operative niveau Her ligger ansvaret for at virkeliggøre virksomhedens sikringsforanstaltninger, og for at udføre en række kon krete opgaver i tiden efter en kritisk hændelse eller katastrofe. Det kan være en fordel at etablere flere operative teams i virksomheden typisk et i hver funktion eller hver afdeling. Fordelen ved at tildele flere medarbejdere konkrete opgaver er, at kendskab til virksomhedens beredskab forankres bredt i virksomheden. Der skabes også en forståelse for, at virksomheden gør en aktiv indsats for at forbedre sikkerheden på arbejdspladsen. Det koordinerende team skal kunne trække direkte på personer med de fornødne ekspertiser, når det gælder udformning af beredskabet og ved håndtering af kriser. Disse personer udgør det operative niveau og kan f.eks. være: > > Den it-ansvarlige (tab af viden og anden information) > > Den ansvarlige for fysisk sikring (materielle tab) > > Den projektansvarlige (materielle og operationelle tab) > > Den økonomiansvarlige (finansielle tab) > > Den personaleansvarlige (menneskelige tab) > > Den eksportansvarlige (markedsmæssige tab) > > Den kommunikationsansvarlige (tab af omdømme). Virksomheden bør være opmærksom på, at det operative niveau ikke er personafhængigt, og i stedet fokusere på funktionen. Det gør det lettere at definere ansvar, hvis en person flytter afdeling, funktion eller helt stopper. Kriseorganisation Virksomhedens kriseorganisation bør ligne den daglige organisation mest muligt. Et forsøg på at skifte roller, referencer eller ansvar midt i en krise, risikerer kun at forværre snarere end at bidrage til at løse situationen. Tænk sikkerheden med Begynd internt Indhold 9/44

10 Bær ID-kort og billedlegitimation synligt på arbejde hele tiden. Passwords skal være stærke, unikke, de skal skiftes ofte og ikke deles med andre. Åben ikke mails fra afsendere du ikke har tillid til. Beskyt din virksomhed mod informationstyveri og spionage. Lås data inde destruer dem ikke glemme dem... om personer, der ikke bærer ID-kort. VIs, VÆRN GIV Spørg, Forebyggende sikkerhed Passwords Virksomheder kan ruste sig mod trusler ved at skabe en sikkerhedskultur. En sikkerhedskultur skabes bl.a. gennem infor- hvem hvis virksomheden lås er og som slå mationsinitiativer. Det kan være fyraftensmøder, ikkedu mod spørgsmål til virksomhedens beredskabsplan eller via virksomhedens intranet. sokker informationen bare du skal din stå er viden Skift er væk dem i tvivl ofte! w Download plakater om sikker hed i virksomheden. Hans Hansen vedhæftede FILER... og uønskede s Sikkerhed er én blandt mange opgaver I DI og PET s virksomhedsstudie fortæller hovedparten af de interviewede virksomheder, at de har en eller flere personer ansat med hovedansvar for sikkerheden i virksomheden. Det er ofte personer, der har sikkerhed som én opgave blandt mange andre. Dog har større virksomheder ofte personer ansat, som udelukkende arbejder med sikkerhed. Hos de mindre virksomheder er den/de sikkerhedsansvarlige ofte personer, der har været ansat i virksomheden i flere år. Gennem tiden har de påtaget sig opgaven som sikkerhedsansvarlige. VIs, Passwords Bær Beskyt skal Lås ID-kort Åben være din data... virksomhed stærke, ikke og inde billedlegitimation mails personer, unikke, destruer fra mod afsendere dem informationstyveri skal ikke synligt skiftes bærer du ikke ikke på glemme ofte ID-kort. arbejde har og tillid og ikke dem hele spionage. til. deles tiden. med andre. hvem du er Hans Hansen Passwords er som sokker Skift dem ofte! VÆRN virksomheden mod vedhæftede FILER... og uønskede s lås og slå informationen skal stå GIV ikke bare din viden væk Spørg, hvis du er i tvivl Tænk sikkerheden med Begynd internt Indhold 10/44

11 Virksomhedens sikkerhed trin for trin For at forebygge og identificere trusler, vurdere sårbarheder og planlægge et beredskab, kan dette sikkerhedshjul være en hjælp. Følg pilene rundt og tænk over, hvordan sikkerheden ser ud i netop din virksomhed. 4 Klik på tallene for at gennemgå sikkerhedshjulets fem trin. Se hvilke trusler I bør forholde jer til, samt forslagene til hvordan I forholder jer til truslerne ud fra andre virksomheders erfaringer. En endelig plan skal selvfølgelig tilpasses jeres eksakte behov og situation. 5 1 Trusler og Regelmæssig sårbarheder evaluering Implementér og Konsekvens sikkerhedsforanstaltninger virksomheden Mest justering for sikkerhed for pengene 2 3 Tænk sikkerheden med Virksomhedens sikkerhed trin for trin Indhold 11/44

12 Virksomhedens sikkerhed trin for trin 1. Trusler og sårbarheder Der er ikke nogen fast formel for, hvordan du kan kortlægge mulige trusler og sårbarheder. Du kan tage udgangspunkt i en oversigt over hændelser, som andre virksomheder har nævnt eller de mest udbredte politiske og samfundsmæssige risici eller trusler. Involvér gerne medarbejdere med et indgående kendskab til forskellige dele af virksomheden. Personer med forskellige ansvarsområder og faglige forudsætninger har forskellige synsvinkler, der alle kan bidrage til en grundig kortlægning af virksomhedens risici. Læs mere om den interne organisering side 7 9. Når først du og din virksomhed har et overblik over mulige risici, er det lettere at forhindre kritiske hændelser, reducere sandsynligheden for at de opstår eller bringe de potentielle konsekvenser ned på et acceptabelt niveau, hvor de kan håndteres af den normale driftsorganisation. Trusler kan komme fra mange aktører. Brug tid på at overveje, hvad din virk somhed er sårbar overfor, og hvordan du bedst kan beskytte din virksomhed mod dem. Virksomhedens håndtering af trusler bør indeholde tre overordnede komponenter: 1 Sikringsforanstaltninger og andre forebyggende tiltag tiden forud for en hændelse. Gennemgås på siderne Krisestyringsplan de første timer eller dage efter en hændelse. 3 Genetableringsplan de dage, uger eller måneder, der typisk går, inden virksomheden igen fungerer normalt. Du bør skabe dig et overblik over: > > Hvilke af virksomhedens funktioner, der er kritiske? > > Hvilke trusler er relevante for virksomheden? > > Hvilke trusler udgør de største risici, og hvor er virksomheden mest sårbar? Risiko- og sårbarhedsanalyse Beredskabsstyrelsens såkaldte ROS-model (risiko- og sårbarhedsanalyse) er et eksempel på et overordnet redskab til risiko- og sårbarhedsanalyse. Der er tale om et brugervenligt elektronisk værktøj med fire skabeloner som frit kan tilpasses sektorspecifikke eller individuelle organisationers behov. Se ROS-modellen på Beredskabsstyrelsens hjemmeside: brs.dk Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 12/44

13 Tyveri og misbrug af information Tyveri er en generel trussel, som danske virksomheder i dag må forholde sig til. Det er især let omsættelige varer som bygge- og produktionsmaterialer, mobiltelefoner, bærbare computere og designmøbler, der er på spil. Og tyverier har en direkte aflæselig effekt som svind på virksomhedens bundlinje. For de fleste virksomheder er det efterhånden rutine at udføre regelmæssige back-up af elektroniske data. Men virksomheder kan fortsat opleve tyveri, misbrug eller kopiering af informationer. De fleste virksomheder er også sårbare over for kopiering af deres produkter, lækage af oplysninger om tilbudsmaterialer eller nye forretningsområder samt information om udvikling af nye produkter. Der er stor forskel på om truslen fra industrispionage, kopiering eller misbrug af information er relevant eller ej for virksomheder. Det afhænger bl.a. af produkter og branche. Og det har betydning for, hvor højt niveauet for virk somhedens informationssikkerhed skal ligge. Svind og tyveri er et voksende problem blandt mange virksomheder i Danmark. Det drejer sig f.eks. om tyveri af viden, produkter og materialer fra arbejdspladsen. ler, mens beskyttelse af udstyr og medarbejdere under forretningsrejser eller udstationering er ligeså relevant for konsulentbranchen og rådgivende ingeniørfirmaer. For produktionsvirksomheder er svind og kopiering af produkter typisk en stor udfordring. Tyveri af rejsende medarbejderes medbragte, bærbare computere eller økono misk motiverede overfald hører også til trusler mod virksomheden. Det gælder især konsulentvirksomheder og andre typer af virksomheder, hvor medarbejdere udstationeres i kortere eller længere perioder i udlandet. Læs mere om rejsevejledninger. Virksomheder er også sårbare, når tidligere medarbejdere bryder kon kur renceklausuler og går til konkurrenten med deres erhvervede og fortrolige viden fra et tidligere ansættelsesforhold. Hvad du kan gøre for sikre dig > > Tal med andre virksomheder i området, i din branche eller med erhvervsorganisationer, der repræsenterer dine interesser. Spørg dem, hvordan de ser og håndterer mulige trusler og risici. > > Spørg virksomhedens medarbejdere, samarbejdsudvalget eller medarbejderudvalg om, hvor de ser virksomhedens sårbarheder. > > Brug den offentligt tilgængelige information om trusler mod Danmark og danske interesser. Vurdering af Terrortruslen mod Danmark finder du på PET s hjemmeside: pet.dk > > Rejsevejledninger finder du på Udenrigsministeriets hjemmeside: um.dk > > Skab et netværk med virksomheder, der ligner din. Du kan også kontakte det lokale politi og spørge dem, hvilke typer kriminalitet der findes i det område, hvor din virksomhed er lokaliseret. I medicinalindustrien og hos forskningstunge virksomheder er industrispionage en af de største trus - Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 13/44

14 Tyveri af viden Af DI og PET s virksomhedsstudie fremgår det også, at nogle danske virksomheder bruger opdelte net, så ikke alle ansatte har adgang til alt materiale. Andre løsninger er: > > Individuelle log-on koder > > Data, der gemmes på hovedserver frem for på den enkeltes computer Fra virksomhedsstudiet fremgår det at en del af dette beredskab typisk er styret af den it-sikkerhedsansvarlige. Andre forholds regler er afhængige af den ansattes individuelle adfærd f.eks. ansvarlig opbevaring af pc ere. Det er normal praksis for virksomheder, at ansatte ikke har administratorrettigheder over deres arbejdscomputere, så der er begrænsninger i installation af programmer o.lign. > > Krypterede usb-nøgler ved rejser > > Pc ere der lukkes ned/låses inde ved arbejdstidens ophør > > Særlige tilladelser til at rejse med bærbar pc ere > > Politikker om hvordan dokumenter skal opbevares, og at der ikke tales arbejdsrelateret i det offentlige rum > > Politikker om beskyttelse af viden ved rejser i form af brug af safety deposit bokse, eller personlig opbevaring af virksomhedens dokumenter under hele rejsen. Misbrug af virksomhedens navn I DI og PET s virksomhedsstudie nævner nogle virksomheder, at de føler sig magtesløse over for misbrug af virksomhedens navn. Nogle har ansat jurister til at sagsøge navnemisbrugerne. Men ofte er det en tidskrævende og omkostningstung opgave. I stedet fokuserer virksomhederne på beskyttelse af virksomhedens produkter og kopisikring af disse. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 14/44

15 Informationssikkerhed Informationssikkerhed handler om kontrol med informationer. Det handler om den fysiske sikring omkring information, om de medarbejdere, der skal håndtere information, og om at beskytte viden og oplysninger. Information skal beskyttes uanset om den behandles som data i it-systemer, som fysiske dokumenter eller i talt form. Bevidsthed omkring sikkerhed, og hvordan man håndterer eller transporterer fortrolige eller følsomme informationer, bør være en integreret del af medarbejderes og ledelsens daglige adfærd. En strategi for informationssikkerhed i en virksomhed kræver, at organisationen har defineret, hvad der er værd at beskytte. Det er en opgave for ledelsen i samarbejde med de sikkerhedsansvarlige i virksomheden og de personer, der arbejder med at håndtere beskyttelsesværdige informationer i det daglige. Der er i Danmark ikke tradition for systematisk kontrol af, hvad der tages med ud og ind af virksomhederne. Og heller ikke hvordan man griber ind over for medarbejdere, der skaffer sig adgang til data, der ikke nødvendigvis ligger lige i forlængelse af jobprofilen. Det er nødvendigt at virksomheden har tillid til de medarbejdere, der kommer i berøring med fortrolige informationer eller bestrider kritiske funktioner i virksomheden. Ud over at følge op på en ansøgers CV, referencer og arbejdserfaringer, anbefaler PET at ar bejdsgivere undersøger en ansøgers baggrund nærmere. Især ved nyansættelser eller ved ændringer i ansvars- og arbejdsområde. PET giver en række anbefalinger til personundersøgelser i pjecen: Tænk sikkerhed, når du ansætter Virksomhedens it-sikkerhed er også udførligt behandlet i en række DI-håndbøger. De kan erhverves gennem DI s shop på: di.dk. DI s branchefællesskab DI ITEK yder også information og rådgivning om it-sikkerhed. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 15/44

16 Kampen mod kopiprodukter og spionage I DI og PET s virksomhedsstudie har truslen fra industrispionage og tyveri eller misbrug af information en central plads hos de adspurgte virksomheder. Men det er en trussel, det kan være svært at gardere sig imod eller forudsige konsekvenserne af, siger de. Virksomhederne mener generelt ikke, de kan forhindre industrispionage, men at de gennem interne foranstaltninger kan forsøge at inddæmme truslen. Samtidig nævner mange, at de gennem investeringer i udvikling af produkter, kodning af produkter, patenter, høj kvalitet og serviceniveau oplever, at de har konkurrencefordele, som kopi-produkter ikke kan måle sig med. Sådan beskytter virksomheder deres viden og produkter > > Bevidsthed om hvilke informationer der er følsomme > > Kodning eller mærkning af produkter mod kopiering > > Høj kvalitet og serviceniveau > > Investeringer i videreudvikling af produkter > > Systematisk screening af medarbejdere > > Kurser om it-sikkerhed > > Fortroligt materiale begrænset til få personer > > Overvågningssystemer, der kan spore unormal dataopførsel > > Konkurrenceklausuler > > IT code of counduct. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 16/44

17 Undgå KIDNAPNING Kidnapning og rejsesikker hed De hyppigste hændelser for virksomhedernes rejsende personale er, at miste pas eller bagage, at blive overfaldet, udsat for røveri eller være involveret i trafikulykker. Vejledning for danskere i udlandet Nogle virksomheder oplever, at de ansatte er bange for at blive taget som gidsler under udstationering i bestemte lande. Derfor er personlig sikkerhed et emne, som virksomheder bør beskæftige sig med. 1 Download publikationen: Undgå kidnapning Vejledning for danskere i udlandet Truslen fra kidnapning afhænger af hvilket land eller område, virksomheden befinder sig i eller hvor den enkelte medarbejder opholder sig. Få råd om rejsesikkerhed i Udenrigsministeriets rejsevejledninger på: um.dk. Hvis virksomheden har rejsende eller udstationerede medarbejdere i højrisiko-lande, bør den naturligvis tage særlige forholdsregler. Virksomheden kan med et beredskab sørge for: > > at have opdaterede og pålidelige informationer om sikkerhedssituationen i de lande, hvor man er repræsenteret > > altid at have kendskab til de ansattes opholdssteder og rejseruter > > at have udarbejdet detaljerede planer for en hel eller delvis evakuering af virksomhedens personale > > at alle ansatte kender virksomhedens sikkerhedsprocedurer, og at ansvarsområderne er klart definerede, så misforståelser så vidt muligt undgås i tilspidsede situationer. Virksomheder kan abonnere på sikkerhedsvurderinger hos private udbydere. Man kan også med fordel benytte lokale samarbejdspartnere eller andre tilstedeværende virksomheder i de pågældende lande for at orientere sig om sikkerhedssituationen. Information fra andre udstationerede, virksomheder og andre med lokalt kendskab på destinationen giver et godt grundlag for at kunne vurdere sikkerheden bedst muligt. Familiedrevne virksomheder Fra de familiedrevne virksomheder, som har medvirket i DI og PET s virksomhedsstudie, fremhæves kidnapninger som en særlig relevant trussel, da ejerne ofte repræsenterer ganske store personlige pengebeløb. Det har betydet, at en del af de familiedrevne virksomheder har et direkte samarbejde med det lokale politi rundt om i verden. Gennem disse virksomheders særlige fokus på personsikkerhed får de skabt grobunden for en sikkerhedskultur i hele virksomheden, der går fra ledelsen og ned gennem organisationen. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 17/44

18 Uhensigtsmæssige situationer kan undgås, hvis man planlægger sin rejse lige så grundigt som sin opgave. Gode råd til rejsesikkerheden > > Rejsevejledning på intranet med risiko- og landeanalyser > > Krav til hoteller > > Træning, briefing og landeinformation til rejsende og udstationerede > > Nedtoning af dansk tilhørsforhold > > Katastrofenumre og Proof of Life brev > > Undgå fællesrejser, hvor et uheld kan risikere at ramme mange > > Samarbejd med lokalt politi > > Dialog med leverandører og eksterne sikkerhedsrådgivere. Virksomhedernes rejsesikkerhed Mange af de interviewede virksomheder i DI og PET s virksomhedsstudie har kortere kurser eller briefinger af deres udstationerede medarbejdere. De har også nedskrevne rejsevejledninger til brug for udstationering. Mange virksomhederne udstyrer deres rejsende ansatte med plastickort med katastrofenumre. Det drejer sig typisk om numre til virksomhedens HR- eller rejseansvarlige, forsikringsselskab, Udenrigsministeriet eller virksomhedens rejsebureau. Stort set alle virksomheder briefer rejsende medarbejdere før afgang og/eller ved ankomsten til høj risiko-lande og lokale kontorer. Mange virksomheder udfører desuden risikovurderinger ved rejser, og nogle konsulterer deres forsikringsselskab (eller ledelsen), som skal godkende en rejse til et højrisiko-område. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 18/44

19 Terrorisme Virksomhederne ser truslen fra terrorisme som en handling, der rettes mod et land eller et lands repræsentationer og myndigheder, mod hoteller og symboler og ikke specifikt mod virksomheder som sådan eller deres ansatte. Det varierer også på branche eller produkt, om virksomheden anser sig selv som et potentielt mål. Industrivirksomheder vurderer sig ikke til at være nær så udsatte som terrormål, som f.eks. en leverandør af produkter til militære formål. Læs den aktuelle trusselsvurdering på pet.dk Trusler mod danske virksom heder De danske virksomheder fra DI og PET s virksomhedsstudie ser ikke alle typer trusler som lige sandsynlige. De rangordner truslerne sådan her: 1 svind og tyveri 2 Tyveri eller misbrug af informationer, risiko for kopiering af varer, produkter og viden 3 kidnapning (rejsesikkerhed) 4 Terrorisme. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 19/44

20 Er de fysiske rammer i orden? En producent af maritimt sikkerhedsudstyr har stor fokus på produktsikkerhed og kvalitet og mindre på fysisk sikring af fabrikker. En dansk ingeniørvirksomhed med aktiviteter i udlandet har ingen særlig skalsikring ud over tyverialarmer, men bruger ressourcer på at sikre patenter. En anden ingeniørvirksomhed undgår helt at være i risikolande på grund af frygten for medarbejdernes sikkerhed. Fysisk sikring Virksomheder bør beskytte deres ejendom, deres produkter, patenter, fabrikker og produktionsfaciliteter og adgangen til kontorer, laboratorier og landekontorer. Den fysiske sikkerheds karakter afhænger af, hvor i verden virksomheden eller virksomhedens datterselskaber/landekontorer/produktionsfaciliteter er loka liseret, og hvilke typer af produkter de beskæftiger sig med. Nogle virksomheder i DI og PET s virksomhedsstudie nævner, at de lægger vægt på en åben kultur. Andre er allerede underlagt strenge krav fra myndighederne eller samarbejdspartnere i udlandet (f.eks. USA), som er direkte aflæselige i de krav, der stilles til virksomhedens sikkerhedsprocedurer, herunder krav til fysisk sikring, personscreening og adgangskontrol. Virksomheder kan være sårbare i forhold til indtrængen eller attentater, når de i udlandet lejer sig ind i kontorlokaler. Her har de ikke nødvendigvis indflydelse på den fysiske sikring af bygningen eller adgangsveje og alarmsystemer. Det er ofte situationen for de danske virksomheder, der har aktiviteter i udlandet, at det lokale kontor ligger i lejede lokaler i bygninger eller virksomhedshoteller, der huser indtil flere virksomheder under samme tag. Industrivirksomheder har fokus på beskyttelse af produktionsfaciliteterne i udlandet, men graden af beskyttelse og fysisk sikring afhænger af det land virksomheden er placeret i. De virksomheder der har været udsat for indbrud nævner, at røverierne bliver grovere og mere omfattende. Kender du naboen? I DI og PET s virksomhedsstudie fortæller en it-virksomhed, hvordan den efter et halvt år i lejede kontorlokaler i udlandet ved en tilfældighed fandt ud af, at den virksomhed, der lejede kontorer ved siden af, ikke var dem, de gav sig ud for at være, men i stedet en konkurrent der aflyttede dem. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 20/44

21 Virksomhedernes erfaringer med fysisk sikring De interviewede virksomheder i DI og PET s virksomhedsstudie tager forskellige forholdsregler, når de fysisk skal beskytte deres lokaliteter: > > Basis sikring med tyverialarmer > > TV-overvågning > > Privat vagtselskab og sikkerhedspersonale > > Skalsikring og indhegning > > In house vagtcentral > > Fuld inddæmning med f.eks. følere, pigtråd, overvågningskameraer, 24-7 (bevæbnede) sikkerhedsvagter > > Begrænset adgang for medarbejdere til forskellige dele af virksomheden > > Due diligence af medarbejdere > > Sikre døre og vinduer > > Aflåste ubenyttede områder > > Sikring af overskuelighed og rigeligt lys de rigtige steder > > Gennemlysningsudstyr. > > Adgangskort med billedlegitimation og adgangskontrol for besøgende Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 21/44

22 Tvivlsomme samarbejdspartnere Det er individuelt, hvor sårbar en virksomhed er over for katastrofer, der ikke indtræffer i umiddelbar nærhed af virksomheden. Derfor bør det i forbindelse med en sårbarhedsanalyse gøres klart, i hvor høj grad virksomheden er afhængig af enkelte leverandører eller samarbejdspartnere eller af et mindre antal leverandører og fra hvilke geografiske områder. Det kan vise sig katastrofalt for virksomheden, hvis en vigtig kunde må standse sine aktiviteter som følge af en uventet hændelse. Ingen virksomhed kan gardere sig fuldstændigt mod at miste aktuelle eller forventede afsætningsmuligheder. Hvor stor denne risiko er, afhænger bl.a. af virksomhedens kundediversificering. Derfor bør du i din sårbarhedsanalyse vurdere, i hvor høj grad virksomhedens afsætning er afhængig af én kunde eller af salg til kunder i et snævert geografisk område. På lignende vis skal det gøres klart, hvordan man er afhængig af andre samarbejdspartnere. Undersøg underleverandører I DI s og PET s virksomhedsstudie nævner virksomhederne, at deres omdømme ikke kan tåle, hvis (under)leverandører og distributører ikke har rent mel i posen. Derfor siger flere af virksomhederne, at de undersøger de forskellige led i virksomhedens fødekæde og screener distributører og samhandelspartnere. Samarbejde med en lokal partner kan også være med til at reducere risici. Det skyldes primært det kendskab til forretningsmiljøet, som partneren bidrager med. Det gør det nemmere at forudse problemer og finde mulige løsninger. Endelig er det naturligvis en fordel, hvis den lokale partner har gode forbindelser til regering eller øvrige lokale myndigheder. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 22/44

23 Due diligence (grundige baggrundstjek) Fra DI og PET s virksomhedsstudie nævner flere virksomheder korruption, nepotisme eller bestikkelse som et stort problem, når de opererer internationalt. Særligt når virksomheden ikke selv er til stede, men bruger en lokal agent, skal de være særligt opmærksomme på, at vedkommende ikke har ry for bestikkelse, ikke har kunder med et blakket ry og ikke kan tænkes at have interesser i modstrid med firmaets egne. Flere virksomheder anbefaler, at man udfører due diligence af sine agenter, når man arbejder på markeder, som er nye for virksomheden, og i lande, hvor korruption er udbredt. Konkrete forslag er at udforme et adfærdskodeks, hvor der med fordel kan stå, at den også gælder for agenter og andre, som direkte eller indirekte handler på virksomhedens vegne. Derudover har mange virksomheder også retningslinjer for brugen af agenter. Det kan være: > > Anvend kun velrenommerede og kvalificerede repræsentanter og firmaer. > > Brug altid firmaets standard agentkontrakt. > > Aflønning til agenter skal altid afspejle det udførte arbejde. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 23/44

24 Mennesker er virksomhedens vigtigste ressource. DI har en lang række informationer og aktiviteter der er din vidensbank indenfor emner som personaleadministration, løn, ansættelsesforhold, arbejdsmiljø, kompetenceudvikling og ledelse. du kan se mere på marked.di.dk DANSK INDUSTRI H. C. Andersens Boulevard København V Tlf Fax di@di.dk Korruption Alle virksomheder er afhængige af offentlig regulering i et eller andet omfang. Men nogle virksomheder har en større berøringsflade med myndighederne end andre. Disse virksomheder kan derfor være mere udsatte overfor korruption, bureaukrati eller ligefrem diskriminerende og uretmæssige indgreb. For virksomheder, der opererer på markeder, hvor korruption er meget udbredt, kan etablering og implementering af en klar ikke-bestikkelsespolitik derfor være en meget vigtig del af risikostyringen. Politiken skal sikre, at alle som er knyttet til virksomheden, overholder loven og handler efter samme regler og principper. Formålet med vejledningen Undgå Korruption er at give virksomhederne en udførlig introduktion til, hvordan de ruster sig til konkurrencen på markeder med udbredt korruption, uden at gå på kompromis med virksomhedens vær- Der kan specielt opstå problemer, hvis virksomheden er meget afhængig af særlige licenser eller til- med krav om bestikkelse. dier, og uden at forbryde sig mod dansk og international lov ladelser fra offentlige instanser, eller hvis den har langvarige kontrakter med myndighederne. Flere og flere danske virksomheder er aktive på markeder, hvor korruption er et stort problem, og hvor virksomhedens medarbejdere risikerer at blive mødt Langt de fleste virksomheder erkender, at man ved at gøre brug af bestikkelse løber en risiko, der kan Mennesker og MUligheder vise sig langt mere bekostelig, end de mulige fordele, man kan opnå på kort sigt. SÅDAN Undgå korruption En guide For virksomheder DI service DI service SÅDAN Undgå korruption En guide for virksomheder Læs mere om håndtering og lovgivning af korruption på di.dk/marked eller anskaf DI s publikation: Undgå korruption Problemet er derfor først og fremmest knyttet til risikoen for, at en af virksomhedens medarbejdere eller en tredjepart, der handler på virksomhedens vegne træder ved siden af. Se også forslag til adfærdskodeks på: CSR Kompasset.dk og gennemgå antikorruptionsanbefalingerne på: globalcompactselfassessment.org. Det sker oftest, når vedkommende ikke kender eller forstår loven, ikke er trænet i at håndtere vanskellige dilemmaer, eller måske har misforstået ledelsens signaler. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 24/44

25 Produktions- og markedsforhold Produktions- og markedsforhold har en afgørende betydning for, om et givent land er hensigtsmæssigt at operere i. Virksomheder kan lide skade på sit omdømme på baggrund af sine aktiviteter på et vækstmarked. Det er specielt miljøproblemer og dårlige menneskerettighedsforhold, som kan smitte af på virksomheden. De etiske problemstillinger mærkes i stigende grad på virksomhedernes bundlinje, i takt med at kunder, investorer, medarbejdere og leverandører stiller øgede krav om social ansvarlighed og gennemsigtighed i måden at drive forretning på. Når udenlandske virksomheder skal etab lere sig på et vækstmarked, kan de komme ud for, at regler for virksomhedsdrift i landet er uklare eller ikke-eksisterende. For at skabe klarhed om rammerne for et projekt kræves det således ofte, at man etablerer direkte kontakt til de lokale myndigheder. Specielt virksomheder, som planlægger meget store investe ringer eller betydelige overførsler af ny teknologi og viden, vil have en god forhandlingsposition. Det bedste virksomheden kan gøre, er naturligvis at agere, så den ikke bidrager til en overtrædelse af menneskerettigheder eller miljøregler. Det kan imidlertid ofte være svært at gennemskue de fulde konsekvenser af virksomhedens samhandel med fjerne markeder, fordi problemerne kan knytte sig til alle faser af denne samhandel. Det kan være i forbindelse med de råvarer og underleverandører, man benytter, eller ved selve produktionen i virksomheden. Det kan også være problemer, der knytter sig til produktets anvendelse og eventuelle bortskaffelse, efter at det har forladt virksomheden. For mange virksomheder kan det derfor være nødvendigt at have en strategi for, hvordan man forebygger sådanne problemer. Læs mere herom på: Kompasset.dk Virksomhedsetik CSR En virksomhed fra DI s og PET s virksomhedsstudie nævner, at de har en afdeling, der tager sig af company ethics bl.a. for at undgå korruption. En anden virksomhed, der producerer ingredienser til fødevarer, er meget opmærksom på udslip eller andre former for miljøsager, der kan true virksomhedens image. Generelt har Corporate Social Responsibility (CSR) stor bevågenhed i forhold til (under)leverandører i udviklingslande. Det kan dog være svært at gardere sig fuldstændig, da danske virksomheder ofte kun udgør en lille del af markedet, og sjældent har stor indflydelse. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 25/44

26 Politisk uro De politiske og samfundsmæssige risici kan have betydning for alle typer af kommercielle aktiviteter på vækstmarkederne. Det gælder for direkte investeringer, projekter og eksport. Specielt i ikke-demokratiske lande er kontrollen med naturrigdomme ofte drivkraften bag politiske konflikter. På den baggrund er internationale selskaber, som udvinder eller handler med olie, gas, guld og ædelstene, ofte blevet part i et lands politiske problemer. Men også virksomheder uden for udvindingsindustrien kan opleve følgerne af politisk uro, f.eks. som begrænsning af bevægelsesfriheden, risikoen for økonomisk ustabilitet og frygten for at et nyt politisk styre ikke anerkender tidligere gældende lov. Ustabilitet og uro får nogle virksomheder til helt at styre uden om højrisiko-områder, på trods af udsigten til økonomisk vinding på de nye markeder. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 26/44

27 Eksportkontrol Det er vanskeligt at afgrænse de stater og områder, hvor virksomhederne skal være særligt opmærksomme på risikoen for misbrug af deres produkter til terrorformål og fremstilling af masseødelæggelsesvåben. Mellemhandlere og dækfirmaer eksisterer i den vestlige verden, men risikoen for misbrug af virksomhedernes produkter er først og fremmest koncentreret i Mellemøsten, Afrika samt Syd- og sydøstasien. Hvis virksomheden sættes i forbindelse med udvikling, fremstilling eller spredning af masseødelæggelsesvåben kan det, ud over de strafferetlige konsekvenser, også have alvorlige konsekvenser for virksomhedens omdømme og relationer til samarbejdspartnere. Ud over produkter på EU s kontrolliste vil alle produkter, teknologi og teknisk bistand kræve eksporttilladelse, hvis myndighederne har oplyst, at de pågældende produkter eller ydelser kan være bestemt til aktiviteter relateret til masseødelæggelsesvåben. Eksporttilladelse er også nødvendig, hvis produktet er relateret til våbenproduktion i lande under en international våben embargo. Eksportøren er samtidig forpligtet til at kontakte myndighederne, hvis der foreligger kendskab til eller begrundet mistanke om en sådan anvendelse. Denne mistanke kan være baseret på kundens aktiviteter, produktets anvendelsesmuligheder eller specielle forhold i handlen. For våben og militære produkter gælder en tilsvarende kontrol, der er indeholdt i den danske våbenlov. PET har udgivet pjecen: Spredning af masseødelæggelsesvåben en risiko for virksomheder og forskningsinstitutioner Links om eksportkontrol > > Eksportkontrollen med produkter med dobbelt anvendelse er underlagt Økonomi- og Erhvervsministeriet og bliver administreret af Erhvervsog Byggestyrelsen: ebst.dk > > For militære produkter er kontrollen underlagt Justitsministeriet: jm.dk > > Yderligere information kan findes ved kontakt til DI eller på: di.dk/marked/eksport Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Trusler og sårbarheder Indhold 27/44

28 Virksomhedens sikkerhed trin for trin 2. Konsekvens for virksomheden Når virksomhedens mulige trusler er identificeret, bør du overveje konsekvenserne for forretning og drift: 1 Start med at kortlægge de kritiske aktiviteter, varer, tjenesteydelser eller funktioner i virksomheden. 2 Vurdér hvilke områder, I er særligt sårbare over for tab (både de almindelige trusler og de uventede). 3 Gå eventuelt listen med trusler igennem og se, om der skal laves en tilpasning. Målet er helt konkret at opstille en liste over de politiske og samfundsmæssige forhold, der i særlig grad kan have en effekt på din virksomhed og medføre tab. Denne liste skal prioriteres i forhold til risicienes potentielle konsekvens. Risiko-identifikationen bør så vidt muligt tilrettelægges som en form for brainstorming, hvor I forsøger at forestille jer ting, som kan gå galt i jeres forretningsmiljø. I kan strukturere dette arbejde ved at se på virksomhedens sårbarhed over for forskellige typer af tab. Disse kan være både direkte og indirekte tab: Seks typer af tab > > Materielle tab > > Finansielle tab > > Menneskelige tab > > Operationelle tab > > Markedsmæssige tab > > Omdømmemæssige tab. Man kan skelne mellem tre typer af direkte tab: Materielle, finansielle og menneskelige. Inden for de indirekte tab kan man skelne mellem operationelle, markedsmæssige og omdømmemæssige tab. En måde at kortlægge sine risici og mulige konsekvenser heraf er ved at tage udgangspunkt i nedenstående skema. Tilpas det til jeres virksomhed og tilføj gerne andre risici og konsekvenser. I arbejdet med at identificere de væsentligste trusler og risici kan det som nævnt være en god idé at tage udgangspunkt i virksomhedens sårbarhed over for de seks typer af tab. Man kan altså i en vis forstand regne på sin følsomhed over for tab inden for de forskellige områder. Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Konsekvens for virksomheden Indhold 28/44

29 TAB RISICI KONSEKVENSER Materielle tab Finansielle tab Menneskelige tab Krig, borgerkrig (Organiseret) kriminalitet Manglende respekt for privat ejendomsret Industrispionage Sabotage Terror Politisk vold, civil uro Valuta- eller gældskrise Devaluering Betalingshindringer i banksektoren Korruption, nepotisme Protektionisme, nationalisme Konflikter mellem centrale og lokale myndigheder Ineffektiv skatteinddrivelse Tvivl om beskatningsgrundlag Upålideligt eller politisk kontrolleret retsvæsen (Organiseret) kriminalitet Sociale problemer Manglende lov og orden Pressionsgrupper Strejkeaktioner, demonstrationer Sabotage Terror Politisk vold, civil uro Krig, borgerkrig Konfiskation Tyveri Tab af informationer/data Ødelæggelse Plyndring Udebleven/forsinket betaling Manglende udførsel af valuta til afkast eller afdrag på lån Ekspropriering, nationalisering Krybende ekspropriering, kontraktbrud Restriktioner på ejerskab Prisrestriktioner Diskrimination ifm. udbud og licitationer Tilbagekaldelse eller forsinkelse af licenser Diskriminerende/uventet skatte stigning eller ændring af beskatningsgrundlag Overfald Attentat Voldtægt Afpresning Kapring Indirekte tilskadekomst Bortførelse Tænk sikkerheden med Virksomhedens sikkerhed trin for trin: Konsekvens for virksomheden Indhold 29/44