Därför har HR blivit en av organisationens mest sårbara funktioner
Länge har det varit självklart att ekonomi- och IT-avdelningar kräver särskilt skydd. Men idag pekar allt fler säkerhetsanalyser ut en ny strategisk riskroll: HR.
I ett allt mer pressat omvärldsläge – där organiserad brottslighet tar nya vägar in i företag och förvaltningar – är det inte längre bara systemåtkomst eller pengar som lockar. Det är insyn, nätverk och inflytande.
HR sitter på makt – och på känslig information
Som HR-professionell hanterar du långt mer än semesteransökningar. Det är du som tar de känsliga samtalen. Du som har insyn i vilka som flaggats internt. Du som vet var det skaver i organisationen – långt innan det når ledningsgruppen.
Och just därför har HR börjat ses som en potentiell måltavla i säkerhetsanalyser.
En person i HR-funktion kan, med fel motiv eller under yttre påverkan, påverka rekryteringar, styra bort granskningar, tysta visselblåsare eller underminera kontrollsystem inifrån.
En ny typ av insiderhot
Det klassiska insiderhotet handlade ofta om personer med åtkomst till affärskritisk data. Idag handlar det minst lika mycket om möjligheten att påverka beslut och processer.
Vem får jobbet? Vem förblir okontrollerad? Vem slussas vidare trots varningsflagg?
Det är inte svårt att föreställa sig varför en kriminell aktör skulle vilja placera – eller påverka – någon i just HR-rollen. Och det behöver inte vara fråga om infiltration i traditionell mening. Det kan lika gärna handla om subtila beroendeförhållanden, lojaliteter, eller påtryckningar mot någon som redan är på plats.
Från stödfunktion till strategisk säkerhetspartner
I takt med att HR får en allt mer strategisk roll – och i många fall sitter med i ledningsgruppen – blir det också allt mer angeläget att förstå vilka säkerhetsrisker som följer. Det handlar inte längre bara om att rekrytera rätt, utan om att motverka osunda processer och bygga organisatoriskt immunförsvar.
Få organisationer har idag rutiner för att återkommande följa upp personer i nyckelpositioner – trots att vi vet att risker förändras över tid.
Här kan återkommande bakgrundskontroller spela en avgörande roll, särskilt för funktioner med särskild insyn eller påverkan, som HR.
Slutsats: Det är dags att börja prata om risken med att inte veta
Vi pratar ofta om att skydda organisationen från obehörig åtkomst. Men vad händer när den obehöriga redan sitter på insidan? När HR själva blir en riskpunkt, inte bara en riskhanterare?
För HR-ledare är första steget att kartlägga risker i den egna organisationen – även i den egna rollen. Först då kan vi gå från att vara potentiella måltavlor till att bli en aktiv del av lösningen.
Birgitta Edlund, vd, ToFindOut
Om Birgitta Edlund
Jag är adopterad från Sydkorea och landade på småländska höglandet några år, via Handels i Göteborg med bla magisterstudier i Seoul och på Seoul National University, innan jag till slut hamnade i Stockholm. Jag har jobbat med rekryteringsfrågor sedan 1998 inom rekrytering - och- bemanningsbranschen och driver sedan starten 2008 ToFindOut.
Trivia: gör kimchi då och då och ja, jag har en kimchi-kyl (såklart).
