Det finns ca 1 000 000 företag i Sverige (källa: Bolagsverket 2018-12-10). 95 av dem, om jag läst siffrorna rätt, har ett ISO 27000 certifikat – ett certifikat som garanterar att du har ett ledningssystem för informationssäkerhet enligt standard. I Europa finns långt fler företag och summan totalt för antalet certifikat just nu är lite mer än 31 000 (källa: The ISO Survey of Management System Standard Certifications 2018).
Men frågan är. Varför är antalet certifikathållare så lågt bland företagen? Och hur kan det vara så viktigt med certifiering om så få har det?
En möjlig förklaring
Jag är förespråkare av ordning och reda, ett systematiskt arbete med informationssäkerhet kräver systematik i processer och struktur. Ett ledningssystem kan mycket väl vara svaret på utmaningarna kring informationssäkerhet idag. Så vad missar man? Varför har då inte fler just ISO. Det är helt enkelt en dinosaurie på den digitala stäppen. Ramverket och standarderna är väldigt byråkratiskt formulerade. En certifieringsprocess tar dessutom tid. Den som läser igenom de kompendier med skallkrav, riktlinjer mm finner, om personen inte somnat efter första sidorna, att även om 27 000 har som ambition att fokusera på att göra säkerhet med individen i fokus så är verkligheten en helt annan. ISO är dokumentcentrerat, byråkratiskt och blir lätt en digital pappersprodukt. Detta är den bild jag fått under dessa massa år i branschen och de många kommentarer från de som anser sig veta, de som gått igenom processen och de som är mitt i det. Notera nu att jag ännu inte berört vad nyttan är, vad själva vinsten är. Det jag pratar om är hur det tas emot och anses – byråkratiskt och dokumentcentriskt.
Vad är nyttan då?
Många kan säga vad de vill nu. Men ett arbete med informationssäkerhet är i grunden 5 saker: Identifiera, skydda, upptäcka, agera och återställa (NIST). Det är enkelt summerat vad själva arbetet går ut på. Men vad som missas är varför och för vem. Inte ens ISO fokuserar på detta. Inte tydligt i alla fall. Ett ledningssystem är som en säkerhetsansvarig, en stödfunktion. Men här är skillnaden. Vi stödjer företagets huvudsyfte för sin existens – tjäna pengar på en produkt eller tjänst (väldigt förenklat). Den enskilt viktigaste tillgången ett företag har är sina anställda – individer. Alltså existerar så väl den ansvarige som ledningssystemet i huvudsak för dem. Utmaningen och fokus bör därför ligga på att kommunicera vad de vinner på att efterleva ett ramverk för ett ledningssystem, inte nödvändigtvis ha dokumentation enligt standard. Rätt logiskt när man tänker efter.
Jag kan garantera att trots att du kommunicerat ut både policy och ledningssystemets krav i organisationen, något som är ett krav enligt ISO 27000, så garanterar inte certifikatet att du gör säkerhet. Det garanterar inte ens att du har säkerhet. Certifikatet garanterar att en revisor funnit att du har en dokumentation av ditt ledningssystem som följer standard, inget mer.
Vidare är det anmärkningsvärt att MSB nyligen har deklarerat i relation till ledningssystem att man bör beakta ISO ramverk. BEAKTA. Vissa påstår att det i framtiden kommer bli ett skallkrav, att 27k är ett måste. Jag tror tvärtom. Beakta är en hänvisning vad det(ledningssystemet) kan se ut som. För alla verksamheter är unika och ett ramverk som upplevs som byråkratiskt och dokumentcentriskt kommer alltid få vika undan för verksamhetens existenssyften där säkerhetsspecialisten är en stödfunktion, ledningssystemet en hämmande process – en dinosaurie.
Så vad är det som det felar?
Om då ISO är något som ger 99% säkerhet (100% finns inte) och 100% dokumentation uppstår ett problem när konkurrenter har lika mycket säkerhet men 20% dokumentation. Oavsett rätt eller fel. Då är ju beslutet rätt uppenbart eller hur, om inget annat har ju historien visat på det. Klart det skall finnas dokumentation, och det finns det också. Men inte i den utsträckning som ISO kräver. Det är då det faller, det är då ISO blir ett byråkratiskt dokumentcentriskt ramverk som få har tid, lust eller ork med om det finns ett alternativ som levererar samma nivå av säkerhet men med mindre dokumentation som behöver kommuniceras ut.
Summerat
Jag vet att det hela låter extremt kritiskt mot just ISO. Vilket är något orättvist. Men, som jag skrev är jag i grunden för ett systematiskt arbete med säkerhetsfrågor och gärna i ett ramverk. Det borgar för just systematik. Men det får aldrig bli i absurdum. ISO är just det, ett byråkratiskt absurdum. Visst finns det mycket nyttigt i det, mycket är till och med bra. Men felet är att det inte kommuniceras ut i verksamheten och faller då på ett enkelt grepp – alla gör inte säkerhet. En annan punkt är att om process finns i verkligheten behöver inte alltid dokumenteras, ISO kräver detta. Låter det och ser ut som en anka så är det nog sjutton en anka. Jag behöver ingen dokumentation som även beskriver ankan. Dokumentationen blir bara ännu ett papper att kommunicera ut. Och byråkrati är svårt att kommunicera ut utan pedagogisk förmåga. Och ansvariga för ISO processen har inte tänkt på det, än mindre bemästrar de förmågan att kunna kommunicera ut mervärdet av ramverket – what´s in it for the people. Och får du inte med dig massan så är ramverket inget mer än ett byråkratiskt luftslott.
Robert Willborg, Junglemap