Expert-intervju:

Kalle Kivi om personalsäkerhet, tillit och riskerna vi inte ser i tid

Cyberhot handlar sällan bara om teknik. Trots avancerade system och skydd sker intrången fortfarande – ofta med människan i centrum. Kalle Kivi, personalsäkerhetsexpert på HiQ, förklarar varför framtidens säkerhetsarbete börjar med att förstå, stötta och skydda individen.

Cyberhot börjar och slutar med människor.  

I dag är cybersäkerhet och riskhantering en självklar del av många organisationers vardag. Brandväggar, kryptering och tekniska skydd finns på plats. Ändå sker intrång, läckor och oegentligheter. För Kalle Kivi, personalsäkerhetsexpert på HiQ är förklaringen tydlig: säkerhet börjar och slutar med människan. 

”Oavsett vilken attackmetod eller sårbarhet vi pratar om landar vi förr eller senare hos en individ som agerar, reagerar eller manipuleras”, säger han. ”Tekniken är viktig, men den räcker inte om vi inte samtidigt skyddar människorna som bär upp organisationen.” 

”Oavsett vilken attackmetod eller sårbarhet vi pratar om landar vi förr eller senare hos en individ som agerar, reagerar eller manipuleras.”

Kalle Kivi, Personalsäkerhetsexpert, HiQ

Personalsäkerhet handlar både om lagkrav och omtanke 

Personalsäkerhet låter lätt abstrakt, men är i grunden både konkret och reglerat. För verksamheter som bedriver säkerhetskänslig verksamhet är det en del av säkerhetsskyddslagstiftningen. Men Kalle ser en lika viktig dimension bortom paragraferna. 

”Juridiskt är personalsäkerhet en lagstyrd del av säkerhetsskyddet. Men i praktiken handlar det om att skydda människor så att de kan skydda organisationen”, säger han. ”Innan någon med stora skulder hinner bli utnyttjad av kriminella eller främmande makt ska vi ha fångat upp signalerna. Det är lika mycket ett ansvar mot individen som mot verksamheten.” 

I HiQ:s erbjudande inom säkerhetsskydd och riskhantering är just det här perspektivet centralt. Informationssäkerhet, fysisk säkerhet och personalsäkerhet hänger ihop. När HiQ stöttar kunder med säkerhetsskyddsanalys och riskarbete är människan en integrerad del av helheten, inte ett separat sidospår. 

När hotet riktar in sig på människors svagheter 

Omvärldsläget har förändrats. När flera europeiska länder, däribland Sverige, skickade hem rysk diplomatisk personal minskade den traditionella underrättelseförmågan. Konsekvensen blev en förskjutning i metoder. 

”Främmande makt använder i större utsträckning det som kallas förbrukningsagenter. Det handlar om vanliga människor utan formell utbildning som rekryteras via exempelvis sociala medier”, säger Kalle. ”Samtidigt ser vi ett starkt intresse från kriminella nätverk att rekrytera personer inne i organisationer. Har du skulder, beroenden eller andra sårbarheter kan du hamna i kläm.” 

Här blir personalsäkerhet ett skydd i två riktningar. Organisationen minskar risken för insiderhot och påtryckningar. Den enskilda medarbetaren slipper hamna i situationer där privata problem plötsligt blir en säkerhetsrisk. 

”Vi vill inte att någon ska behöva välja mellan sin arbetsgivare och sin egen eller familjens säkerhet. Vår uppgift är att se riskerna i tid, innan någon hamnar där”, säger Kalle. 

”Vi vill inte att någon ska behöva välja mellan sin arbetsgivare och sin egen eller familjens säkerhet. Vår uppgift är att se riskerna i tid, innan någon hamnar där.”

Myten om lampan i ansiktet sitter hårt 

När Kalle möter nya organisationer finns ofta en tydlig bild av hur personalsäkerhet fungerar och den är sällan smickrande. 

”En vanlig missuppfattning är att vi ska sätta någon under lampa, förhöra hårt och gräva i privatlivet på ett nästan filmiskt sätt”, säger han. ”Det stämmer inte alls. Hela poängen är att skapa förtroende, inte rädsla.” 

I praktiken handlar säkerhetsprövande samtal om ett professionellt, strukturerat möte där individen förstår varför frågorna ställs och hur informationen kommer att hanteras. 

”Den enda vägen till bra underlag är att den som sitter mittemot mig litar på mig. Människor berättar saker för någon de upplever som vettig, respektfull och diskret. Vår metodik bygger på just det – tydlighet, trygghet och transparens. Vi förklarar varför vi frågar, inte bara vad vi frågar.” 

Kultur, tillit och dåliga system vanliga hinder 

Svenska arbetsplatser präglas ofta av hög tillit. Vi håller upp dörrar åt varandra, vi utgår från att andra är behöriga och vi drar oss för att ställa obekväma frågor. Kalle ser både styrkor och risker i den kulturen. 

”Vi är uppvuxna i en tillitsbaserad världsbild, vilket skapar ett trevligt klimat. Men när det står ’endast behörig personal’ på dörren och jag ändå släpper in någon jag inte känner, då har vi plötsligt en säkerhetsrisk”, säger han. 

För honom är det avgörande att förklara syftet med personalsäkerhet internt. Att bara säga ”vi ska upptäcka spioner” räcker inte. 

”När jag frågar om någons ekonomi är det inte för att moralisera, utan för att personen inte ska hamna i en situation där någon använder spelskulder eller lån som påtryckningsmedel. Den förklaringen gör enorm skillnad för hur arbetet tas emot.” 

Minst lika viktigt är hur systemen runt medarbetarna fungerar. 

”Du kan ha hur många policydokument och analyser som helst. Om dina system och processer gör det omöjligt att göra rätt kommer människor att ta genvägar. Dåliga system leder till säkerhetsbrister, inte dåliga människor. Det gäller värdegrund såväl som säkerhet.” 

Svagt ledarskap är en säkerhetsrisk 

När Kalle pratar om personalsäkerhet återkommer han ofta till ledarskap. För honom är det mer än en HRfråga. Det är en direkt säkerhetsfaktor. 

”Ledare kan inte gömma sig bakom att de inte visste. De har mandat, lön och förutsättningar för att ta ansvar. Då ingår det att prioritera säkerhet, att lyssna på de sakkunniga och att driva igenom åtgärder även när de är obekväma”, säger han. 

Ett svagt ledarskap, där ingen vågar fatta beslut eller följa upp, ser han som en konkret säkerhetsrisk. Medarbetare gör inte som det står i ett dokument, de gör som deras chefer faktiskt beter sig i vardagen. 

Här blir HiQ:s roll ofta både rådgivande och utbildande. Det handlar om att ge ledningen en tydlig bild av riskerna, men också att visa hur personalsäkerhet kan integreras i affär, kultur och vardag utan att stoppa verksamheten. 

Så får organisationer hjälp utifrån deras förutsättningar 

När HiQ går in i en organisation börjar arbetet alltid med att förstå vad verksamheten gör, vilka skyddsvärden som finns och vilka roller som har tillgång till vad. En säkerhetsskyddsanalys och en tydlig verksamhetsbeskrivning lägger grunden. 

Därefter tydliggörs vilka befattningar som behöver säkerhetsprövas och eventuellt säkerhetsklassas, vilka som kräver registerkontroll och hur bakgrundskontroller ska genomföras på ett strukturerat och rättssäkert sätt. Samtidigt tas utbildning och intern kommunikation fram, så att medarbetare förstår både syftet och sin egen roll. 

För vissa kunder handlar uppdraget om att bygga upp allt från grunden. För andra är HiQ en partner som kompletterar ett befintligt säkerhetsarbete med just personalsäkerhet. 

”En del organisationer har redan gjort en omfattande säkerhetsskyddsanalys. Då kan jag komma in, läsa in mig och titta på helheten ur ett personalsäkerhetsperspektiv. Ofta räcker det med att justera roller, skärpa några rutiner och lägga till utbildning för att höja nivån avsevärt”, säger Kalle. 

Personalsäkerhet som möjliggörare

För Kalle är målet inte att bromsa verksamheten, utan tvärtom att göra det möjligt att agera snabbare och tryggare. 

”Jag brukar säga att man inte har bromsar på en bil för att stanna, utan för att kunna köra så fort som möjligt på ett kontrollerat sätt. Det är samma sak med säkerhetsarbete. Rätt utformad personalsäkerhet gör att du vågar ge människor mandat, dela känslig information och använda kraften i din organisation fullt ut.” 

När säkerhetsåtgärder upplevs som orimligt krångliga eller ologiska har något gått fel. Då går människor runt systemen, och säkerheten blir i praktiken svagare. 

HiQ:s arbete med personalsäkerhet syftar därför alltid till att kombinera lagkrav, riskreducering och mänsklig förståelse med lösningar som fungerar i verkligheten. Människan är utgångspunkten – och den största möjligheten.  

Tekniken räcker inte utan människan. Hur ser det ut hos er?
Vi hjälper er att bygga ett säkerhetsarbete där människor, processer och teknik hänger ihop – på riktigt.

Jobba på HiQ

Kontakta oss!

Välj ditt närmaste kontor, ser fram emot att prata!

Fler expertintervjuer

hiqexperts Nico Stark
hiqexperts Det stora AI-skiftet har börjat – men ledarskapet släpar efter
hiqexperts Naim Latifi
hiqexperts Gustav Isaksson
hiqexperts Från AI-hajp till affärsnytta – så skapar företag verkligt värde med AI 
hiqexperts Granskad av DIGG
hiqexperts Digital tillgänglighet – så kommer du igång!
hiqexperts Etisk hacking i praktiken
hiqexperts Data Science och AI på djupet
hiqexperts Datainsikter som gör skillnad: Victor Martinez Albarracin om BI och analys
hiqexperts Datans dilemma: Hur dålig data kan döda ett projekt
hiqexperts Att bygga en användarcentrerad produkt
hiqexperts Lärdomar i ledarskap från rollspel
hiqexperts Produktcyber-säkerhet i en föränderlig värld
hiqexperts Framtidens front-end-utveckling