Governance handlar om styrning i praktiken. Det innebär tydliga roller, förankrat ansvar och beslut som hänger ihop med affärens mål. Att NIST-ramverket numera lyfter governance som en egen funktion visar hur avgörande det är för ett fungerande säkerhetsarbete.
– Många tror att de har governance bara för att det finns en strategi. Men om teknikerna inte vet varför de gör något, eller cheferna inte följer upp, så saknas styrning, säger Claes Olsson.
Glappet uppstår ofta mellan ledningens riktning och det som faktiskt sker i vardagen. När ansvaret är otydligt tappar organisationen sin kompass, och viktiga rutiner riskerar att falla mellan stolarna.
– Resultatet blir osäkerhet, inkonsekvens och i värsta fall säkerhetsrutiner som faller bort, säger Adam Önder.
Trafikregler för säkerhetsarbetet
En bra bild är att se governance som ett trafiksystem. När farten ökar, fordonen blir fler och vägarna mer komplexa räcker det inte längre med bara stoppskyltar. Vi behöver rödljus, rondeller och upplysta vägskyltar, och alla bilister behöver känna till och följa reglerna.
– Visst, det är enklare att köra hur man vill. Men då ökar också risken att det smäller. Governance är bromsarna, skyltarna och vägmarkeringarna som gör att vi kan köra säkert samtidigt som vi håller hög fart, säger Adam
Dokumentation och vardagskultur
Två av de mest avgörande, men ofta förbisedda, komponenterna i governance är dokumentation och kultur. Dokumentation handlar inte om att uppfylla regelverkets krav, utan om att skapa möjlighet till lärande, justering och förbättring. För om du inte vet varför du gjorde något är det omöjligt att veta hur man kan göra det bättre nästa gång.
– Dokumentation är kanske inte det mest spännande att prata om, men det är helt avgörande för ett bra säkerhetsarbete, säger Adam Önder.
Kulturen är den osynliga kraft som avgör om den utpekade riktningen faktiskt leder till rörelse. Du kan ha världens mest genomtänkta strategi, men om människor inte förstår varför den finns, eller inte känner att den angår dem, så händer ingenting. Därför spelar det roll hur vi agerar i vardagen. I synnerhet för den som har en ledande position. Governance fungerar först när alla känner att de är en del av helheten. Då blir det inte bara en strategi på papper, utan ett gemensamt sätt att tänka, arbeta och ta ansvar.
– När chefen bär sin säkerhetsbricka synligt, loggar ut ur systemen och följer rutinerna, skickar det en tydlig signal. Medarbetare gör inte som vi säger, de gör som vi gör, säger Claes Olsson.
