Paranoia och domedagsprofetior Många menar att säkerhetsfolk har foliehatt, att många av oss är smått konspiratoriska på gränsen till paranoida när det kommer till risker och hot. Men fullt så illa är det inte. Sanningen är mycket enklare än så. Det finns fortsatt de experter och specialister som i sina analyser och utlåtande för sig […]
Paranoia och domedagsprofetior
Många menar att säkerhetsfolk har foliehatt, att många av oss är smått konspiratoriska på gränsen till paranoida när det kommer till risker och hot. Men fullt så illa är det inte. Sanningen är mycket enklare än så. Det finns fortsatt de experter och specialister som i sina analyser och utlåtande för sig med en retorik och semantik som kan tolkas som domedagsprofetior och skrämseltaktik. Det är bevisligen mycket dålig pedagogik i ledningsrummet. Större framgång har de som tillämpar ”fånga fler flugor med honung”-taktik. Att finna en retorik och pedagogik som ledningen förstår är en framgång.
Verksamhetens fokus och syfte – expertens roll
Först gäller det att förstå det sanna syftet med säkerhetsarbetet. Cyber och informationssäkerhet är till för att genom metodik och syfte tjäna verksamhetens kärnverksamhet – att tjäna pengar. Det är bara att erkänna, verksamheten är prio ett och säkerhetsexperten är en servicefunktion. Punkt. Om man inte förstår det kvittar det hur mycket expert du är, säkerhetsarbetet kommer inte upp på en strategisk nivå.
Balansen – en framgångsfaktor
Lagom mycket informationssäkerhet är ett epitet som jag hört många gånger. Och det är så rätt. Med lagom menar jag här att lagom mycket säkerhet i perspektiv till vad som skall skyddas, vem skall skydda och hur – en balans. En organisation som skyddar ett äpple med en bunker avsett för kärnvapenkrig har uppenbart en onödigt hög säkerhet i förhållande till vad den skall skydda. Lika illa är det att skydda rikets säkerhet med plywooddörr. Lagom mycket sett till helheten. Och verksamhetens syfte går först. Inte säkerheten.
Lagom mycket informationssäkerhet
Den som kommer fram till något annat än harmoni mellan verksamhet och säkerhet måste erkänna och förstå den röda flaggan som hissas nu. För den bistra verkligheten är att ingen verksamhet är 100% skyddad, den kan inte bli det heller. En expert med det målet för ögonen kommer gå in i brandväggen av ren stress. Balansen är vägen fram, lagom mycket säkerhet.
Lägg dessutom till att en säkerhetsexpert sällan talar kring KPI:er, mätpunkter, som en ledning gör. Sällan pratar vi om affärsnyttan med det vi gör annat än i svävande och hypotetiska risk- och hotscenarier. Kan vi förmedla hur vi mäter effekten med vår agenda och arbete? Vad är mervärdet av det vi gör för kärnverksamheten? Detta är i mina ögon en obestridbar nyckel till framgång med säkerhetsstrategin.
Sammanfattning
Vi som jobbar med säkerhet måste förstå vikten att serva verksamheten med lagom mycket säkerhet, sörja för utbildning av samtliga i verksamheten och att inte överösa ledningar med dragningar och rapporter som inte innehåller en terminologi som ledningen lyssnar till.
Och då säkerhet inte är något vi har utan gör, måste vi börja utifrån rätt nivå: Lagom mycket säkerhet.
Robert Willborg, CISO Junglemap
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
