Det är spännande att vara konsult.
En unicitet är att få insyn i så många verksamheter.
Givetvis talar vi aldrig om våra uppdrag men tillåts reflektera över tid och inte minst reagera på felaktiga påståenden.
Exempelvis att en kategori organisationer är såååå mycket sämre än en annan. Har du insyn i båda kategorierna så kan du direkt se att jämförelsen är felaktig.
Därför är jag ganska skeptisk till mycket av det som lyfts fram i media. Det är sällan något annat än sensationsjournalistik där en oinvigd journalist med stöd av några lika oinvigda experter målar upp ett påstående.
Under alla mina år som konsult har jag reflekterat över hur obalanserat säkerhetsarbetet är. Det allt mer strukturerade arbetet är på väg att jämna ut obalansen men det är långt kvar.
Sedan kryddas tillvaron oavbrutet med buzzwords som IoT, moln, AI som varje gång skakar om den organisation som ännu inte fått det strukturerade säkerhetsarbetet tillräckligt förankrat.
Hur många organisationer är det inte som bedrivit GDPR-arbetet som en separat företeelse när det egentligen bara är en av flera kravställare på säkerhetsarbetet. Det är så trist att se alla ambitiösa krafter, inte sällan ensamma krafter, röra sig i rätt riktning men som gång efter annan hindras av de oinvigda som tror sig hittat den enkla vägen fram.
Den stora faran är inte nya innovationer, utan tron på att varje ny innovation löser våra egna tillkortakommanden. Bilden av ett delta växer fram, men skillnaden är att ingen av vägarna leder fram.
Tala om ett uppdämt behov.
Tro mig, det finns ingen enkel väg fram, utan det är en mödosam resa att få på plats ett strukturerat säkerhetsarbete som är hållbart över tid . Effekten kommer först efter ett par år och alltför få har den uthållighet som krävs.
Tecken på detta är inte bara att organisationerna ger sig ut på den ena ogenomtänkta resan efter den andra. De köper också den ena quickfixen efter den andra i tron att en rad säkerhetsproblem löses. Agerandet skapar inte bara en falsk trygghet, det genererar också att fokus flyttas från vad som kanske är de verkliga utmaningarna.
Det är svårt att inte exemplifiera med inpassagesystem . De vanligt förekommande Mifare Classic och EM Marine har sedan länge passerat bäst-före-datumet. Trots allt är det oftast de lösningarna som ligger till grund för skalskyddet hos det stora flertalet.
I väldigt många organisationer är gapet mellan den som fattar beslut kring skalskydd och inpassage vida skilt från andra tekniska och organisatoriska skyddsåtgärder.
Min uppfattning är att det är en allt bättre dialog mellan informationsägaren och de som tillser att rätt IT-säkerhetsrelaterade skyddsåtgärder påförs. Under många år levde även de skilda åt, där de som arbetade med IT-säkerhet inte sällan gjorde det efter eget huvud, helt oberoende av informationstillgångarnas skyddsvärde.
Det är för många en lång resa kvar innan de tekniska och organisatoriska skyddsåtgärderna står i paritet med informationens skyddsvärde. Insikten av att det är just en resa utan något egentligt slut är kanske ett trist konstaterande. När organisationen väl förlikat sig med det och är beredd att arbeta strukturerat även över tid, då infinner sig faktiskt en otroligt fin känsla.
Än så länge är det alltför få som fått känna den känslan, men jag är övertygad om att skaran blir större och att tillväxten på sikt är exponentiell!
Thomas Nilsson
