Svenska företag och myndigheter mobiliserar för att möta samtida risker. Genom planering, övning och nya IT-system bygger de sin beredskap. Målet är att hantera incidenter och kriser effektivt. Vi som utvecklar system måste utforma dem med människan i fokus och inte bara kryssa av funktionskrav. Det skriver Linus Kimselius, styrelseordförande och medgrundare av Softcrisis.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Myndigheten för Civilt försvar (fd MSB) har föreslagit föreskrifter som ställer omfattande krav på verksamhetsutövare. Organisationer ska ha interna regler som anger hur roller, mandat och arbetsuppgifter fördelas vid kriser, hur samverkan med berörda parter genomförs, och hur man snabbt kan kontakta rätt personer när det gäller. Systemen måste vara robusta och tillgängliga för informationsdelning och samverkan under kriser.
Regelverken är därmed tydliga med vad som behövs. Men de säger mindre om hur systemen behöver utformas för att fungera när människor är under maximal press. Här finns en blind fläck som vi i branschen behöver adressera: att kryssa av compliance-checklistor säkerställer inte att ett verktyg faktiskt fungerar när det verkligen behövs.
En allvarlig incident eller kris kännetecknas av tidspress, osäkerhet och, inte sällan, informationskaos. Forskningen om mänskligt beteende under stress är entydig: vår kognitiva kapacitet minskar drastiskt, tunnelseende uppstår och beslutskvaliteten sjunker. Det är för denna verklighet vi måste designa.
Kraven är omfattande. De föreslagna föreskrifterna säger att organisationer ska kunna upptäcka och vidta åtgärder för att minimera konsekvenserna av incidenter. Det inkluderar att samla in information, bedöma konsekvenser, dokumentera åtgärder, samverka med leverantörer, rapportera externt och informera berörda målgrupper. Men under maximal stress blir komplexitet vår värsta fiende.
Incident- och krisarbete som fungerar utmärkt i övningsmiljöer kan kollapsa i skarpt läge – inte för att tekniken fallerar, utan för att användarna inte klarar av att navigera informationshavet under press. Ett gränssnitt med tjugo valmöjligheter blir obegripligt när pulsen är förhöjd. En dokumentationsrutin med många steg blir en omöjlighet när telefonen ringer oavbrutet och ledningen kräver svar.
Förslaget visar spår av användarcentrerat tänkande. Till exempel ska verksamhetsutövare öva på sina arbetssätt för olika kriser och ha kontaktuppgifter till viktiga funktioner lättillgängliga vid incidenthantering. Föreskrifterna betonar också vikten av att tillämpa etablerad stabsmetodik i arbetet.
Men vi som bygger verktygen måste gå längre. ”Lättillgängligt” bör inte bara betyda att information finns någonstans i systemet.Det ska betyda att rätt person hittar rätt information på sekunder – även mitt i natten när en skärm lyser upp med ett krismeddelande.
De verktyg vi utvecklar bör bygga på principer som sätter människan först:
Enkelhet före funktionsrikedom. I en krissituation är färre val bättre än fler. Systemet ska inte erbjuda alla tänkbara möjligheter – det ska guida användaren mot rätt handling just nu.
Visuell klarhet. Information måste kunna uppfattas på sekunder, inte minuter. Färgkodning, tydlig hierarki och minimalt med brus är inte estetiska val – det är säkerhetskritiska designbeslut.
Inbyggd guidning. Ett krishanteringssystem ska inte kräva att användaren minns hur det fungerar. Det ska leda genom processen, steg för steg, även om det gått månader sedan förra incidenten.
Robust arkitektur. Verktyget måste fungera även när infrastrukturen sviktar. En app som kräver stabil internetuppkoppling för att visa en kontaktlista har missat sitt uppdrag.
Att uppfylla de nya regelverkens krav blir nödvändigt – men inte tillräckligt. Föreskrifterna kräver att effektiviteten av införda säkerhetsåtgärder ska bedömas minst årligen. Uppföljningen måste utvärdera lämplighet och proportionalitet i förhållande till externa krav, interna behov och risk. En sådan uppföljning måste inkludera en ärlig bedömning av hur väl de tillgängliga verktygen faktiskt stödjer människorna som ska använda dem. Vi ser för ofta organisationer som investerat i avancerade plattformar som sedan samlar digitalt damm. Inte för att behovet har upphört, utan för att tröskeln för att använda dem är för hög när situationen väl uppstår. Då faller man tillbaka på krispärmar, mejl, telefonkedjor och improvisation – precis det som systemen och tjänsterna skulle ersätta.
Vi som utvecklar system och tjänster för incident- och krishantering har ett val. Vi kan nöja oss med att leverera funktioner som kryssar av checklistor och uppfyller formella krav. Eller så kan vi ta ansvar för helheten – och inse att vår främsta uppgift är att stötta människor i deras svåraste stunder.
Det handlar inte om att välja mellan compliance och användbarhet. Det handlar om att förstå att verklig säkerhet kräver system utformade för verkligheten. En verklighet där människan alltid är i centrum. Där förmågan att agera snabbt och korrekt kan vara skillnaden mellan en väl hanterad incident och en fullskaligt utvecklad kris.
Linus Kimselius, medgrundare av och styrelseordförande för Softcrisis
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
