Är det barnet i flera av oss som gör att vi gång efter annan, orädda, antar nya utmaningar med inställningen ”hur svårt kan det va”? Det är visserligen en fantastisk drivkraft, kanske en av evolutionens viktigaste. Frågan är dock om det ur ett informationssäkerhetsperspektiv är den bästa drivkraften? Vi tenderar ofta till att lösa nya utmaningar ur ett strikt teknisk perspektiv utan att se till vilka konsekvenser lösningen får i övrigt.
Ett säkerhetstänkande och ett risktänkande är som ett tvillingpar. Rätt kombinerat så är det en enastående kombination. Kombinerat tänker någon, är det inte samma sak?
Den som är tekniskt lösningsorienterad tänker säkerligen risk. Det gör vi alla. Frågan är ur vilket eller vilka perspektiv. Den som har fått en ”padda” i handen och vill att den skall ha minst samma möjligheter som en säkrad enhet som sitter på en säkrad infrastruktur kanske inte har samma perspektiv som den som äger en informationstillgång, och har det yttersta ansvaret (juridiskt, ansvarsmässigt, rättsligt…) att tillse att skyddsvärd information inte hamnar i orätta händer, modifieras eller tillgängliggörs.
Alla har någon gång, kanske ofta, konstaterat att det inte är lätt att vara alla till lags. Ur ett informationssäkerhetsperspektiv, med nya tekniska innovationer varje dag, är det en utmaning. Det skall vara en utmaning. Den som hade hoppats på något annat är sannolikt på väg in i en återvändsgränd.
Tjusningen, för det är en tjusning, är att ha ett tillräckligt pragmatiskt förhållningssätt för att kunna anta ständigt nya informationssäkerhetsutmaningar. Informationstillgångarnas skyddsvärde förändras definitivt inte i samma takt som omvärlden, men det är omvärlden vi har att förhålla oss till. Detta gäller oavsett om en informationstillgång skall skyddas från uppretade aktivister eller om det är kreativa medarbetare som ständigt vill hantera informationstillgången på nya sätt.
Kan du inte hantera omvärldsförändringarna så gör du säkrast i att helt isolera informationstillgången en tid och sedan tänka om. Sannolikt har du klassat dina informationstillgångar, åtminstone de viktigaste. De som ännu inte gjort det, kan fortsätta resan fram till den punkten. Sedan är det tre saker som skall på plats. Oavsett vilket rättesnöre du väljer, så är två av tre självklara, nämligen riskhantering och incidenthantering. Dvs lär av egna och andras erfarenheter samt dra lärdom av era misstag. Rätt naturliga ingredienser.
Det tredje som skall på plats är en länk mellan omvärldskraven och skyddskraven. Oavsett om detta benämns säkerhetsarkitektur, informationssäkerhetsklassningsmatris eller konsekvensverktyg, så måste länken till. Först när den länken finns så kan den som leder och samordnar informationssäkerhetsarbete flytta fram från baksätet.
Det är fullständigt omöjligt att möta alla krav, som kommer i allt raskare takt, om det inte finns en färdig plan att möta dem med. Färdig och färdig, föresten. En plan är aldrig färdig, saken är den att planen skall vara i en sådan form att den är tillräckligt färdig, sedan krävs det ett ständigt förändrings- och förbättringsarbete. Vardagligt finlir helt enkelt.
Thomas Nilsson
