Stockholm Waterfront 25-26 november 2019

Tänker vi rätt?

Har vi tillräckligt god beredskap för att hantera det oväntade? Har vi en väl fungerande organisation för arbetet med IT- och informationssäkerhet?

I stället för att anamma den gamla synen på säkerhet som ett Sisyfosarbete, ni vet killen med stenen som skulle uppför ett berg, så vill jag företräda en modernare syn på säkerhet. Säkerhet för mig är

  • en outnyttjad konkurrensfördel
  • en styrka, inte ett hinder
  • något som gör företag mer framgångsrika och intressanta, förutsatt att de utnyttjar investeringen de gör i säkerhet till att förädla affärsmodeller, erbjudanden och prissättning.

Ny teknik och nya arbetssätt skapar nya risker och hot och därmed brister i rutiner, stödfunktioner och system. Ny teknik, nya processer, nya rutiner, varje förändring kräver kompletterande utbildning i säkerhet. Kännedomen är i allmänhet dålig om redan befintliga policys, anvisningar och instruktioner.

Vi vill gärna tro att användare följer säkerhetsföreskrifter bara för att de finns. Samtidigt sker i allmänhet en undermålig uppföljning av incidenter, förseelser och missbruk. En bristande kontroll av hur mycket medarbetarna vet om IT- och informationssäkerhet lämnar mycket åt slumpen. Att det sedan inte finns bara en kategori av användare gör det inte enklare. Låt mig beskriva några typexempel:

Den uppfinningsrike – den som redan på stenåldern letade upp en pinne och testar att peta den i ögat på den sovande Tyrannosaurus Rex, bara för att se vad som händer. De tillhör det förlorade folket. De kommer aldrig att bli riskmedvetna. Här gäller det bara att se till att de inte skadar sig.

Den nyfikne – den som tänker ”Det kan väl inte vara så farligt?” och gärna testar att överträda säkerhetsregler bara för att se om det får några konsekvenser.

Den ignoranta – den som vet bäst. Som anser att den handlingsplan som säkerhetsavdelningen arbetet fram inte löser det största problemet och att det ändå inte är så skyddet ska utformas. Här är det viktigt att som säkerhetsansvarig ge dem lite rätt i diskussionen, så att de lämnar den med känslan att de kan tänka sig att följa reglerna, även om de egentligen inte håller med, men de har själva valt att göra det. Den kategorin återfinns ofta på IT-avdelningen.

Den skräckslagna – den som ringer till supporten för att en ikon har flyttat sig 2 mm åt höger på skrivbordet och undrar om det är farligt. De utgör oftast ingen säkerhetsrisk, men de tär ibland på resurserna.

Säkerhet är relativt – du behöver bara vara lite säkrare än dina konkurrenter, kunder, leverantörer eller angripare. Du måste inte vara absolut säker, men säkrast överlever.

Säkerhet är en dialog – all säkerhet är resultatet av överenskommelser, mellan ledning och medarbetare, mellan kund och leverantör, mellan styrelse och verksamhetsansvarig. Säkerhet går inte att åstadkomma genom ensidig ordergivning.

Säkerhet är kultur – en verksamhet med en säkerhetskultur är en verksamhet där säkerhetstänkandet är en naturlig del av verksamhetens själ.

Verksamheter som inte förstår sin hotbild tar nog inte heller säkerheten på allvar. Medarbetarnas kunskap och medvetande tas lätt för givna, medan de i själva verket ofta är omedvetna, pragmatiska och lite nöjeslystna.

I valet mellan en länk till dansande grisar och säkerhet väljer användarna grisarna, varenda gång. De vill inte vara säkra, de vill ha roligt! Vad har användarna för incitament att följa säkerhetsreglerna?