Gång efter annan lyfts kritik fram från en organisation till en annan. Förvånande, eller faktiskt är det inte förvånande, så har den egna organisationen inte själv hanterat det som kritiken avser. Ingen har väl gått miste om uttrycket ”gör inte som jag gör utan som jag säger”. Nu senast är det Riksrevisionen som riktar kritik avseende informationssäkerhetsarbetet i Sveriges myndigheter, för övrigt berättigad kritik, men hur kommer det sig att myndigheten först nu själva tar informationssäkerhetsarbetet på allvar? Vad skickar det egentligen för signaler?
Detta är inte unikt för Riksrevisionen. Tyvärr bleknar den polerade ytan var gång vi får tillfälle att lyfta en sten. Det om något är illavarslande för nationen.
Det är inte bara en sten vi lyft på under alla våra verksamma år, heller inte hundratal utan kanske 1000-tal eller 10 000-tal. Det har gått så långt att varje tidningsrubrik endast blir en axelryckning. Jag tror dock inte att det går att bara skylla på att de som leder oss inte själva gör som de säger. Det faktum att flera organisationer ser informationssäkerhetsarbetet som en parallell tillvaro, något som är skiljt från den ordinarie verksamheten, är än mer bekymmersamt.
Informationssäkerhet är en del av den ordinarie verksamheten. Tro inget annat!
Detta synsätt är en självklarhet för alla de organisationer som är sprungna ur det faktum att de verkar inom ett område som kräver god informationssäkerhet för sin överlevnad. Alla de organisationer som verkade innan informationssäkerhet var något mer än ett analogt synsätt har en utmaning. En riktigt stor utmaning. Det handlar till syvende och sist om att bemästra dagens utmaningar. Inte gårdagens.
Äter vi vår egen hundmat? Jag skulle vara naiv om jag påstod att det inte finns förbättringsmöjligheter. Vi föddes i samband med interneteran och har visserligen informationssäkerhet i blodet, men på 20 år har det hänt ofantligt mycket. Om vi stillasittandes skulle resonera utifrån 90-talets informationssäkerhetsperspektiv så skulle vår tid sedan länge varit över. Det finns helt enkelt inte en seriös marknad för ett redan passerat synsätt. Vårt driv och vårt engagemang är i hög grad att aldrig stanna upp. Samtidigt så behöver även vi som organisation ge bevis på att våra ambitioner också visar sig i vår verksamhet och i vår organisation.
Det enda rätta är att låta en oberoende part återkommande granska oss gentemot det som kan anses vara normerande på området. Dvs SS-ISO/IEC 27001 eller motsvarande.
Precis som det är självklart för oss, så borde landets alla organisationer som hanterar skyddsvärd information, och alla de organisationer som kan anses vara ledsagare inom området, återkommande granskas på ett motsvarande sätt.
Det är ett vederdaget antagande att vi inte vågar ställa krav på en SS-ISO/IEC 27001 certifiering för att alltför få skulle klara det. Det kanske är dags att ompröva detta resonemang?. Vi vågar alltså inte ställa reella krav på informationssäkerhetsarbetet eftersom få eller ingen skulle kunna leverera sjukvård, omsorg, finansiella tjänster, samhällsviktig infrastruktur osv. Hur illavarslandet är inte det?
Det första steget är att ledsagaren är en bra förebild.
Thomas Nilsson
