Informationssäkerhet - förnuft eller känsla?
Vi i säkerhetsbranschen använder skrämsel i säljprocessen, ibland med rätta och ibland utan fog. Jag är inte bekväm i det, samtidigt inte helt oskyldig, och med detta inlägg kommer jag ge oss i branschen självkritik men också tips på vad vi behöver göra bättre.
I takt med att säkerhet efterfrågas och vi säkerhetsfolk får audiens i ledningsgrupper behöver vi bli bättre. I dagsläget pratar vi mycket om hot och risker av olika slag, vi spelar på den oro som bygger på rapporter i media, till exempel att drabbas av ransomware, DDoS eller informationsläckage. Vi säger att vi har den bästa lösningen, ofta en tre-fyrstavig förkortning, och lösningen är sällan gratis. Ledningen, de med det riktiga ansvaret, blir lugna för stunden av akronymerna.
Jag raljerar lite och jag tror att få lurar organisationer att skaffa lösningar de inte behöver. Skyddet mot det jag exemplifierar ovan behöver bli bättre och kunskapsnivån i ledningsgrupper högre. Men, det kommer inte hålla för evigt, att sälja på rädsla är fel och ska såklart vara det.
Ska vi i branschen var relevanta över tid, vilket vi ska vara då digitalisering kräver bra informationssäkerhet, så måste vi finnas i dessa forum. Nyckeln till fortsatt relevans är att tala ledningens språk, för att citera en kollega, vi måste tala språket ”begripliska”!
Hur pratar man begripliska då? Jo, för det första behöver vi förstå organisationen och dess verksamhet. För det andra behöver vi förstå vilka visioner, planer och mål de har. Kan vi använda detta i samband med de råd vi ger så finns det plötsligt en röd tråd mellan verksamhet, deras nuläge och framtid samt säkerhetsåtgärd och risk.
Säkerhetsinvesteringar kommer bli ifrågasatt och ska bli det. Det finns inga organisationer som har outsinliga resurser. Om en ledningsgrupp ska ta beslut om en investering som kan ge en avkastning, ROI, på säg 5% inom ett år och om det ställs mot en säkerhetsinvestering som ger en ”go magkänsla” som avkastning så kommer det blir femprocentaren. Money talks. Ska det bli säkerhetsinvesteringen så behöver den ha en tydlig koppling till verksamhetens mål.
Trygghet är också en känsla. Att bygga trygghet genom att följa standarder och ramverk är förnuftigt för att minska sannolikheten att missa ett vitalt område. Att mäta dessa områdens mognad och relatera dessa till verksamhetens måluppfyllnad är förnuft på hög nivå.
För att sammanfatta:
- Identifiera era nyckelprocesser samt vilken information och system som är vital för dessa.
- Skaffa ett nuläge baserat på standarder och ramverk.
- Analysera vilka säkerhetsåtgärder som behövs för att:
- få upp en sanitär lägstanivå.
- främja verksamhetens mål. - Presentera detta i ledningsgruppen och förklara hur säkerhetsbrister negativt kan påverka möjligheten att nå verksamhetsmål och vilka säkerhetsåtgärder som är relevanta. Var noga med vilka risker de tar om de väljer bort något. På begripliska.
- Låt ledningsgruppen besluta om åtgärderna.
- Gör en ny bedömning och redovisa förbättringen. Belägg förbättringar i mätbara värden, t.ex. tillgänglighet relaterad till högre försäljning om det senare är ett verksamhetsmål.
Vi i branschen måste alltså bli bra på att påvisa nytta med det vi förespråkar, eller för tala begripliska i en ledningsgrupp, Return On _Security_ Investment - ROSI.
