HUR och VARFÖR?

2018-08-31

Planeringen av den 22:a Säkerhetsdagen är i full gång. Programmet kommer att presenteras i slutet av september och själva Säkerhetsdagen går av stapeln den första tisdagen i december i vanlig ordning, närmare bestämt 4 december på Oscarsteatern i Stockholm. Anmälan och mer information finns på https://sakerhetsdagen.se/.

Planeringen av den 22:a Säkerhetsdagen är i full gång. Programmet kommer att presenteras i slutet av september och själva Säkerhetsdagen går av stapeln den första tisdagen i december i vanlig ordning, närmare bestämt 4 december på Oscarsteatern i Stockholm.

Anmälan och mer information finns på https://sakerhetsdagen.se/.

Alla våra kompetensområden är med och bidrar till innehållet och på ett av arbetsmötena förra veckan var det slående hur rörande överens vi var om en sak. Nämligen att avståndet till HUR växer.

Det är lätt att på policy (ATT) och riktlinjenivå (VAD) ha starka viljeinriktningar. Men HUR lyser ofta med sin frånvaro.

Våra kompetensområden spänner kanske som bekant från regulatoriska krav ner till kvalitativa slumptal.

Trots denna spännvidd var vi alla rörande överens om att det är alltför ofta som någon står ensam kvar i att hantera just HUR.

En intressant passus under diskussionerna var också att det sällan talades om VARFÖR, utan många gånger enbart ett kort DÄRFÖR.

I sann informationssäkerhetsanda ska vi så klart utgå från risk, värdera riskerna och hitta effektiva vägar fram för att minimera sannolikheten att risker inträffar eller att minimera konsekvensen av att risker inträffar. Att staka ut den vägen är inte speciellt svårt, men att gå från ord till handling är sällan enkelt.

De vägledningar som står till buds ger oftast ett bra metodstöd, vilket inte ska förringas, men vägledning som bidrar till innehållet är det sämre ställt med. De ansatser som är gjorda är antingen för urvattnade eller så är de utformade av någon som står alldeles för långt från verkligheten.

Att landa i HUR och förklara VARFÖR är sannerligen inte enkelt. Samtidigt är det helt avgörande för att informations- och IT-säkerhetsarbete ska leda till ett reellt resultat. Alternativet är att fortsätta leva reaktivt och försöka hantera konsekvenserna av det som inträffar. Det är kanske inte eftersträvansvärt?

Förklaringen kanske går att finna i att HUR snabbt blir otidsenligt?

Skulle det exempelvis finnas nationell vägledning för HUR så skulle det kräva ett relativt stort underhåll för att säkerställa att det håller måttet även över tid.

Å andra sidan måste det göras oavsett. Ett sammanhållande arbete här skulle säkerligen vara till gagn för likartade verksamheter.

Det är på sin plats att börja med ett mer konkret ramverk för information som är av betydelse för Sveriges säkerhet. I och med nya Säkerhetsskyddslagen (SFS 2018:585) omfattas betydligt fler organisationer och utmaningen att hantera HUR är av alldeles för stor vikt för att låta var och en bestämma över det.

Ett ramverk som MUST’s KSF (krav på säkerhetsfunktioner) är en bra inspirationskälla, men vår nation skulle vara betjänt av ett civilt ramverk. Det skulle sannolikt i sin tur ge ringar på vattnet som får en betydelse som är långt större än vad vi kanske först tror.

KSF är långt från perfekt men det är en inspirationskälla idag. Ett civilt ramverk skulle vara en långt större inspirationskälla även för dem som inte direkt berörs.

Våra konkreta bidrag, utöver att verka för ett mer strukturerat och mer konkret nationellt arbete, är att se till att Säkerhetsdagen får ett större fokus på HUR och VARFÖR.

HUR svårt kan det va’?