Kompleksiteten i hjertet af cyber

Ledelsens involvering i cybersikkerhed

Mens du læser det her, sidder nogen og klør sig i hovedbunden, mens de overvejer, hvordan de hæver informationssikkerheden i deres organisation uden at overskride deres budgetter og sænke deres produktivitet. Men det vil formentlig ikke lykkes. Projekter inden for informationssikkerhed fejler alt for ofte ved at levere under mål og over budget. En af de væsentligste årsager er formentlig, at det er en misforstået disciplin, som bærer på en dyb kompleksitet, der bør anerkendes fra starten for at opnå varige resultater.

Misforståelsen om informationssikkerhed

Informationssikkerhed opfattes ofte, som noget man lægger oven på en organisation. Man tager udgangspunkt i status quo og så vedtager man regler for brugen af IT, opsætter et system, der overvåger netværket for mistænkelig aktivitet, og et andet system, der hjælper med at styre adgangsrettigheder for brugere, og når de ting er tilføjet, er man mere sikker end før.
Det er ikke dårlige tiltag, men når du ”tilføjer” sikkerhed, behandler du blot symptomer – på en dyr og besværlig måde. Behandlingen går ofte i stå, eller virkningen forsvinder kort tid efter. En varig effekt kræver, at ledelsen tager fat om nældens rod og anerkender, at informationssikkerhed dybest set er en paradoksal disciplin.

Informationssikkerhed er informationskontrol

Slår man op i lærebogen handler informationssikkerhed om at sikre ”fortrolighed, integritet og tilgængelighed” af information og systemer. Snushaner og skurke holdes ude, retskafne ansatte holdes inde, data holdes i ordentlig stand og systemer holdes konstant i gang. Det er med andre ord en disciplin, der går ud på at bevare kontrollen over, hvordan informationer og systemer behandles.
Behovet for informationssikkerhed hænger sammen med behovet for IT. I et land som Danmark indebærer langt de fleste stillinger en stor andel vidensarbejde – det er resultatet af en udvikling, der har stået på i flere hundrede år og ikke ser ud til at gå den anden vej foreløbig. IT er sat i verden for at optimere vidensarbejdet ved at forbedre mulighederne for lagring, ændring, kopiering, deling og adgang til information. Og dertil er informationssikkerhed sat i verden for at sikre både åbenheden ved denne proces (adgangstildeling, redundans og retablering) og lukketheden (adgangskontrol, kryptering og filtrering). Informationssikkerhed kan derfor ikke blot lægges oven på en organisation, da informationsprocesserne allerede ligger i organisationens fundament og afspejler kompleksiteten i det moderne samfund.

Ledelsen skaber sikkerheden

Foranstaltninger, der blot lægges oven på, vil hurtigt blive tilgroet, når nye arbejdsgange og systemer gør, at informationer bliver delt på nye måder, og at systemroller ændrer funktion i praksis. Det er derfor langt mere relevant for informationssikkerheden, hvilke værktøjer en leder i et nyt stort forretningsområde har tænkt sig at indkøbe, og hvordan de skal bruges, end hvor god IT-administratoren er til at konfigurere en firewall. Dem, der for alvor har succes med informationssikkerhed, er typisk dem, der er villige til at træffe hårde beslutninger om arbejdsgange og systemer.

Hvis ledelsen tør anerkende, at de både skal sikre åbenhed og lukkethed samtidig (en kompleks opgave, der kræver ressourcer og opmærksomhed), og samtidig tør skære ind til benet, så de kun har de systemer, som de for alvor er dygtige til at bruge og kan sikre forsvarligt, så har de med denne strategiske beslutning lagt grunden for mere varig og robust informationssikkerhed, end langt de fleste organisationer, og samtidig har de valgt at fokusere deres organisation på at gøre det, de er bedst til, en forretningsstrategi, der har bevist sit værd gang på gang.
Så med det in mente, hvis du vil tale strategiske beslutninger om informationssikkerhed, så ræk ud til Niklas Rendboe på niklas.rendboe@arbasecurity.com