Säkerhet säljer, tänker de kvartalsstinna giganterna och gör tappra försök att ändra en supertankers kurs, vilket ger allt annat än önskade avtryck.
För någon vecka sedan var jag och en kollega ånyo inbjudna till en konferens för att föreläsa. Denna gång under rubriken mobil säkerhet. Vadå mobil säkerhet? Är det någon skillnad huruvida åtkomsten är rörlig? Kanske, men inte nödvändigtvis.
Vår poäng är måhända allt annat än glamourös, att när informationssäkerhetsarbetet i en organisation är väl fungerande så är företeelser som mobilitet, moln och IoT (internet of things) inte någon fristående utmaning. Framstår det som en isolerad utmaning så är det tyvärr en signal på att just informationssäkerhetsarbetet inte fungerar.
Efter föreläsningen fick vi vetskap från en av säljarna i den anslutande utställningen att vi sköt helt förbi målet. Vi förbisedde helt att information kan läcka. Jaha tänkte vi, men poängen var ju just att identifiera riskerna och anpassa skyddsåtgärderna till dessa. Inte utgå ifrån vad hen hade mest lust att sälja för dagen.
De sluga säljarna hos de kvartalsstinna giganterna, inte sällan med lönemodeller som tvingar fram snabba avslut, utnyttjar det faktum att informationssäkerhetarbetet inte fungerar. Med viss ansträngning går det att få gårdagens teknologi att framstå som lösningen på morgondagens alla tänkbara utmaningar. Gärna med stöd av uppmålade scenarios som passar deras kortsiktiga agendor.
Då gör det ont i en säkerhetsnörds själ och hjärta att se detta skådespel. Inte minst med vetskapen om att det sällan behövs mer än lite skrap på ytan för att avslöjas som verkningslös. Att det sedan behövs månader, ibland år, för att tillrättalägga uppdagade brister säger än mer om seriositeten.
Ofta framställs en bild av att organisationen inte har tiden att inventera sina tillgångar, klassificera dem och genomföra återkommande riskanalyser. Än mindre tiden att tillse förmågan att tillämpa resultatet.
Visst, att ta ett grepp om en större organisation görs inte över en natt, sannolikt inte ens under ett par år för att åstadkomma varaktig skillnad. Men, en isolerad företeelse kan med en solid metod och rätt deltagare från verksamheten avklaras på en förmiddag med tillräckligt resultat för att ge en bild av vilka risker företeelsen är förenad med, och vad informationstillgången har för värde och karaktäristik. Tillräckligt för att göra någorlunda rätt insatser för att eliminera de värsta riskerna och till en sannolikt lägre kostnad än att falla till föga för dinosauriernas verkningslösa utbud.
Detta återkommande mantra kan framstå som fruktansvärt långtråkig, o dötrist o tråkig o alldeles… alldeles underbart!
Det faktum att ett fungerande informationssäkerhetsarbete ger precision och träffsäkerhet gör också att marknaden tvingas anpassa sig till dagens och morgondagens utmaningar. Den katalysator som marknaden så väl behöver. Marknaden är inte längre betjänt av företeelser som löste gårdagens behov.
Säkerhet är för mig ett ständigt förbättringsarbete som kräver precision för att eliminera dagens och inte minst morgondagens risker. Tro inget annat.
Conny Balazs
