Ofta fascineras jag av barnens nyfikenhet, tron att ingenting är omöjligt och inte minst förmågan att gå från ord till handling. I takt med att vårt liv berikas med erfarenheter, insikter och givetvis en massa kunnande, såväl praktiskt som teoretiskt, förändras också vårt beteende. Jag vill påstå att nyfikenheten tenderar till att avta, vi gör inte längre något som är omöjligt, ofta inte ens det som kanske är möjligt, och vägen från ord till handling blir allt längre.
Vägen blir inte bara längre för att perspektiven ändrats utan också för att vägen kantas av allt fler kontroll- och beslutspunkter. Mycket är till det bättre, men är verkligen allt till det bättre? Kan det vara så att risken att göra fel gör att de verkliga riskerna som ska hanteras egentligen aldrig hanteras för att vägen är kantad med allt för mycket fluff?
Är det en tillfällighet att en pragmatisk informations- och IT-säkerhetsnörd går i dessa tankar? Sannolikt inte. Jag tror till och med att verksamheter som mest bara lindar in sig i fluff lever rätt gott. Inte minst de med horder av egenhändiga experttitlar. Vem vågar motsäga sig en expert?
En svårighet är att informations- och IT-säkerhetsarbete sällan mäts. Den enda sanningen är att så länge ingen risk går från en sannolikhet till en sanning så är allt bra. Eller?
Barnets ohämmade leverne leder så klart till misstag och det lär sig (oftast) av sina misstag. Åtminstone de som gör tillräckligt ont. Många utvecklare har gjort samma resa. Först en tillvaro i en helt oskyddad miljö till att sedan möta verkligheten i form av illvilja som ruvar på internet. Barnet tränas till att leva i det verkliga livet, men jag undrar vem som tränar utvecklaren till att leva i det verkliga livet? Det verkliga livet är ju faktiskt ändå det som vi ska kunna hantera.
Informations- och IT-säkerhet har inte sällan tendenser att skjuta långt från de egentliga målen. Vem försöker inte lösa var och ens tillkortakommanden med en magisk pryl. Men är inte de magiska prylarna egentligen ett symptom på de egentliga problemen? Vi är inte tillräckligt rustade för att möta den verkliga världen. Bara det faktum att många betraktar informations- och IT-säkerhet som en särart talar väl sitt tydliga språk. Något som går att välja bort.
I naturen sker en ständig evolution. De arter som inte tillräckligt snabbt anpassar sig dör ut. De som har bäst anpassningsförmåga är inte sällan de som är vinnare. Med detta sagt är det läge att vakna till om inte tiden ska ha sin gång även här. Informations- och IT-säkerhet är ingen särart, det har inget egenvärde utan är kort och gott en förmåga att klara fortsatt leverne utifrån de förutsättningar som idag råder.
Vägen fram är att se naturligt på dagens utmaningar. Det är inte riskfritt med en global IT-infrastruktur. Men utan att kunna hantera risker hade vi inte varit där vi är idag. Anpassningen till dagens och morgondagens risker är receptet fram. Det har varit så i miljontals år och lär så förbli.
Det var ett barn som konstaterade att kejsaren hade blivit lurad och stod där naken. Nu tror jag kejsaren har blivit skrämd så till den mildra grad att han har skärmat sig från den vekliga världen genom att gömma sig i garderoben, alternativt att han har så många valmöjligheter att han aldrig någonsin kommer ut ur garderoben.
Gör inte nutidens utmaningar svårare genom att inte vilja möta dem. Krångla inte till tillvaron utan lär dig bemästra den. Vi har miljoner år av erfarenheter av att hantera risk pragmatiskt som vi verkar ha glömt bort att tillämpa.
Thomas Nilsson
