Säkerhetsskydd handlar sällan bara om regelverk, processer och styrande dokument. För att säkerhetsarbetet verkligen ska fungera krävs också något mer: ledarskap, förståelse och en kultur där människor vågar fråga, lyfta risker och agera i tid. Elin Redmo Theorin, konsult på Basalt, har lång erfarenhet av att arbeta i kvalificerade roller inom säkerhetsskydd och ledarskap. Hon har bland annat varit verksam som säkerhetsskyddschef och signalskyddschef, är aktiv reservofficer i Försvarsmakten och har under flera år uppmärksammats som nominerad till Framtidens kvinnliga ledare. Med ett starkt engagemang för både säkerhetsfrågor och människor brinner hon för hur organisationer kan bygga säkerhet som verkligen ger effekt i vardagen.
Ledarskap i säkerhetsarbetet börjar i kultur och förståelse
När Elin pratar om säkerhetsskydd återkommer hon ofta till samma kärna: säkerhet blir aldrig starkare än kulturen och ledarskapet som bär den. Det räcker inte att säkerhetsfunktionen vet vad som behöver göras om förståelsen saknas i resten av organisationen. Därför lyfter hon ofta vikten av att säkerhetsfrågor måste göras begripliga, relevanta och närvarande i verksamheten. Det kan handla om något så enkelt som att föreläsa internt om omvärldsläget och förklara varför vissa säkerhetsåtgärder finns. Motstånd och frustration kan snabbt bytas mot förståelse när medarbetare får rätt sammanhang.
Nyligen medverkade Elin som expert i frågor som rör säkerhet och ledarskap under Ledarnas digitala event Morgondagens ledarskap. Här nedan delar hon sina perspektiv på varför säkerhetsarbete behöver synas mer, ägas högre upp i organisationen och byggas genom både struktur och kultur.
Elin, du har haft flera tunga roller inom säkerhetsskydd och ledarskap. Hur har de erfarenheterna format ditt sätt att se på säkerhet i organisationer?
– De erfarenheterna har framför allt lärt mig att säkerhet aldrig får bli en isolerad specialistfråga. För att säkerhetsarbetet ska fungera måste det finnas ett engagemang som sträcker sig från säkerhetsfunktionen ut i hela organisationen. Jag har också sett hur mycket prestigelöshet betyder i praktiken. När människor känner att de får ställa frågor, lyfta osäkerheter och be om stöd utan att bli dömda, då händer det något i organisationen. Jag har mött verksamheter där säkerhetsfrågor hanterats väldigt korrekt formellt, men där det ändå funnits en tystnadskultur som gjort att viktiga signaler inte kommit fram. Och jag har sett motsatsen: organisationer där öppenhet, dialog och närvaro har gjort att säkerhetsarbetet fått verklig effekt. Det har format min syn väldigt tydligt. Säkerhet handlar inte bara om struktur, utan också om människor, beteenden och förtroende.
Du brinner för både säkerhetsfrågor och ledarskap. Varför tycker du att just kombinationen av de två är så viktig?
– Därför att säkerhetsfrågor behöver ledarskap för att få genomslag. Om ingen visar riktning, skapar förståelse och tar ansvar för att budskapet når fram, då blir säkerhet lätt något som ligger vid sidan av verksamheten. Ett tydligt och närvarande ledarskap gör att människor förstår varför frågorna är viktiga och vad de själva behöver bidra med. För mig handlar bra ledarskap i säkerhetsfrågor också om att vara tillgänglig och mänsklig. En ledare som inte dömer, som öppnar upp för frågor och som syns i organisationen minskar tröskeln för att lyfta risker och incidenter. Tyvärr är många säkerhetsfunktioner fortfarande ganska gömda bakom stängda dörrar. Då blir avståndet till verksamheten onödigt stort.
Därför behöver ledarskap i säkerhetsarbetet förankras i hela organisationen
Om du skulle sätta ord på det kort: vad kännetecknar riktigt bra ledarskap i säkerhetsfrågor?
– Prestigelöshet, öppenhet och deltagande. Ett riktigt bra ledarskap i säkerhetsfrågor bjuder in andra, både medarbetare och kollegor, istället för att stänga ute. Det bygger på att man vill förstå verksamheten, lyssna in och skapa ett gemensamt ansvar. Historiskt har säkerhetsroller ibland präglats av ett synsätt där man förväntas ha alla svar och värna sitt expertområde väldigt hårt. Men den typen av ledarskap tar oss inte särskilt långt idag. Säkerhet blir starkare när fler känner sig delaktiga, inte när expertrollen blir ett hinder för dialog.
Vad kännetecknar bra ledarskap i säkerhetsarbetet?
Många verksamheter har processer och styrande dokument på plats, ändå fungerar inte säkerhetsarbetet fullt ut. Varför blir det så?
– Ofta handlar det om att säkerhetsorganisationen inte riktigt når ut, eller att frågorna inte har tillräcklig förankring i ledning och styrelse. Det går att ha både processer och dokument på plats utan att säkerhetsarbetet faktiskt lever i verksamheten. Då blir det lätt något man har, snarare än något man gör. Jag tror mycket på att arbeta mer öppet och utåtriktat. Omvärldsbevakning är ett bra exempel. När man hjälper organisationen att förstå vad som händer runt omkring oss ökar också förståelsen internt: vilka hot som utvecklas, vilka incidenter som inträffar och varför vissa frågor blivit mer aktuella. Det kan vara väldigt konkret: att samla det viktigaste från aktuella rapporter och hålla en intern genomgång för chefer eller medarbetare. Det behöver inte vara komplicerat, men det gör stor skillnad. Det kan handla om allt från AI och informationshantering till utvecklingen i vårt närområde, skuggflottan i Östersjön eller påverkan från andra stater. När människor får sammanhang uppstår ofta ett tydligt “aha”. Då blir säkerhetsåtgärder inte bara begränsningar, utan något logiskt och nödvändigt.
När säkerhetsarbetet inte fungerar trots processer och styrning
I vilka forum tycker du att säkerhetsfrågor ska hanteras för att inte bli en sidofråga?
– Ett väldigt konkret exempel är projektstarter. Så fort ett nytt projekt initieras bör säkerhet vara med redan vid det första uppstartsmötet. Då kan man snabbt avgöra om säkerhetsfunktionen behöver vara involverad vidare eller inte. Det är nästan alltid bättre att komma in från början än för sent. Säkerhetsfunktioner riskerar ibland att uppfattas som paragrafryttare, och det kan göra att andra drar sig för att involvera dem. Men alternativet är ofta betydligt sämre. När säkerhetsfrågor kommer in för sent kan det bli dyrt, tidskrävande och i värsta fall leda till att projekt måste göras om eller stoppas helt.
Du lyfter ofta kultur som en avgörande faktor. Vad innebär en stark säkerhetskultur för dig i praktiken?
– För mig innebär en stark säkerhetskultur att organisationen arbetar systematiskt med säkerhetsskydd, men också att det finns en verklig förankring i vardagen. Det handlar om att människor vågar prata om risker, ställa frågor och berätta när något blivit fel. I många organisationer finns fortfarande en rädsla för att göra fel, och kanske ännu större rädsla för att erkänna att något redan har gått fel. Det skapar tystnad, och tystnad är farligt i säkerhetsarbetet. En stark säkerhetskultur är därför en kultur där det är tillåtet att lyfta sådant som skaver, där misstag fångas upp tidigt och där lärande går före skuld.
Ledarskap i säkerhetsarbetet bygger en stark säkerhetskultur
Vilket ansvar har chefer i att bygga en kultur där säkerhet tas på allvar i vardagen, inte bara när något har hänt?
– Chefer har ett väldigt stort ansvar. De sätter tonen för vad som faktiskt prioriteras i vardagen. Om en chef inte tar säkerhetsfrågor på allvar kommer medarbetarna snabbt att göra samma tolkning. Men om chefen visar att frågorna är viktiga, pratar om beteenden, tar dialogen och själv agerar förebild, då får det genomslag. Därför är det också så viktigt att utbilda chefer och ledningsgrupper i säkerhetsfrågor. De behöver inte bli specialister, men de måste förstå tillräckligt för att kunna bära frågorna i verksamheten. Och det behöver göras på ett enkelt och tydligt sätt. Säkerhet får inte bli ett språk som skapar distans till resten av organisationen. Ju mer begripligt och konkret man kan prata om säkerhet, desto större är chansen att det blir en naturlig del av vardagen.
Vanliga misstag i säkerhetsarbetet och hur de kan undvikas
Vad ser du oftast att verksamheter missar när de vill stärka sitt säkerhetsarbete?
– Det jag oftast ser är att man missar det löpande samtalet om varför säkerhet är viktigt just nu. Många verksamheter lägger mycket energi på strukturer och dokument, men mindre på att prata om omvärlden, om aktuella händelser, om hur andra länder agerar eller om vilka risker den egna verksamheten faktiskt kan möta framåt. Det gör att säkerhetsarbetet blir för abstrakt. Jag ser också att många missar att aktivt arbeta bort tystnadskulturen. Om en incident inträffar måste det vara självklart att den rapporteras direkt. Och då behöver organisationen ha ett klimat där rapportering inte leder till skuldbeläggning. Ibland kan det ju vara jag som chef som har missat något i utbildning, arbetssätt eller processer. Det perspektivet är viktigt. Annars får man aldrig syn på de brister som faktiskt behöver åtgärdas.
Och till sist: vad skulle du säga att det viktigaste en chef behöver förstå, även om man inte själv är specialist inom säkerhetsskydd?
– Det viktigaste är att förstå att säkerhetskultur inte byggs över en natt. Det tar tid att bygga upp både struktur, förståelse och rätt beteenden. Men om man inte gör det kan kostnaden bli väldigt hög när något väl händer. Konsekvenserna av bristande säkerhet kan bli både affärskritiska och samhällskritiska. En chef behöver inte kunna allt i detalj, men måste förstå sitt ansvar och sin påverkan. Det gäller inte minst i en tid där teknikutvecklingen går snabbt. AI skapar stora möjligheter, men också nya sårbarheter. Hotaktörer använder redan avancerade metoder för att identifiera och utnyttja svagheter i hela kedjor – i teknik, processer och mänskligt beteende. Därför behöver chefer vara nyfikna, ställa frågor och se säkerhetsarbetet som en strategisk ledningsfråga, inte som ett specialistområde vid sidan av.
Säkerhetsarbete som strategisk ledningsfråga
Sammanfattningsvis menar Elin att säkerhetsskydd i grunden handlar om att få människor, ledarskap och struktur att samverka. Regelverk och processer är viktiga, men de räcker inte på egen hand. Det är först när säkerhetsfrågor blir en naturlig del av ledarskapet, kulturen och verksamhetens vardag som de får verklig effekt. Det är också där extern hjälp kan göra stor skillnad. En erfaren konsult kan bidra med både specialistkunskap och ett utifrånperspektiv, hjälpa ledningsgrupper att förstå sin riskbild, stötta chefer i hur frågorna kan omsättas i praktiken och skapa framdrift i arbetet med kultur, förankring och styrning.
