Jag förundras än mer över hur höga beslutsfattare fattar viktiga beslut utan att ha någon egentlig kunskap i sak, utan föds med beslutsunderlag som i sig är skrivna i ett enda syfte, att beslutsfattaren ska fatta de önskade besluten. Av vem är besluten egentligen önskade?
Det som verkar göra reell skillnad är de incidenter som inträffar när exempelvis det blir känt att hemliga uppgifter tillgängliggjorts för obehöriga. Först då blir det en viss rättning i ledet.
Jag har bevittnat ett stort antal livesändningar. Jag fascineras något oerhört över hur stora team det är bakom produktioner som till exempel Allsång på Skansen, Melodifestivalen och IDOL. Stora flertalet är frilansare som spelar i ett gemensamt lag mot gemensamt mål. Det är en laganda med oerhörd respekt för varandras profession. Något större svängrum för improvisation över sin sakkunskapsgräns finns inte. En steadicam-operatör som syns i bild är ju ett klart nederlag. Det livesända resultatet som visas i bild är perfekt, nästan för perfekt för min smak som konsument.
Jag som många andra gillar att bli underhållen av improvisation. Kanske är det livesändningens stora utmaning, dvs att skapa en känsla av improvisation utan att göra avkall på det strukturerade arbetssättet?
Det strukturerade arbetssättet delar vi, men att försöka skapa en känsla av improvisation inom ramen för min profession är det sista jag söker!
Vi har sedan länge konstaterat att det inte fungerar att skjuta från höften. Ej heller att fatta beslut utan att förstå vad det är för beslut som fattas och vilka konsekvenser de medför. Det fungerar än mindre att gång efter annan göra avkall från regulatoriska krav, egna riktlinjer och redan fattade beslut. Beteenden som skapat en kultur där det är helt okey att fortsatt improvisera friskt i vardagen.
Vad är det för mening att separera informationstillgångar med olika skyddsvärde och med olika riskaptit från varandra när det ändå tillåts att göra avsteg från den modellen gång efter annan? Kanske med argumentet att mina mest skyddsvärda tillgångar måste ha direktkontakt med Internet, trots att modellen inte medger det. Kanske avstegen inte gör något för det är uppenbart att alla tillgångar redan placerats i en och samma korg? Kanske är det uppenbart att alla tillgångar redan delar samma risker. Vi har ju gång efter annan bevittnat effekterna av att exempelvis stora lagringsnät (SAN) havererar. Se MSB’s rapport “Erfarenheter och reflektioner från några större it-incidenter under 2012–2014” om minnet bleknat.
Att arbeta riskbaserat innebär inte att genom ogenomtänkta beslut utsätta organisationen för risk!
Ni som följer de månatliga krönikorna, som för övrigt är inne på sitt 23:e år, kanske känner igen delar av resonemanget från några tidigare krönikor. För 23 år sedan hade det varit relativt enkelt att införa det strukturerade arbetssättet som vi eftersträvar. Då var riskerna och exponeringen för stora flertalet långt från dagens och effekten av det inträffade oerhört ringa varför motivet till att arbeta strukturerat inte var särskilt tydligt.
I perspektivet till dagens verklighet så är det en reell samhällsfara, och i flera fall Sveriges säkerhet, som står på spel. Improvisationens tid är över, än mindre frånvaron av ett lagspel med ömsesidig respekt. Det är inte för sent att göra skillnad, men det kräver gemensamma ansträngningar och gemensam förståelse. Vi kan helt enkelt inte skjuta det framför oss längre utan att det får ödesdigra konsekvenser. Varje dag av väntan gör att skuldberget växer och alla är nog överens om att skulder ska betalas. Antingen när det stora haveriet väl inträffar, eller så kan det avbetalas i kontrollerade och mindre smärtsamma former.
Förändringsresan mot ett långsiktigt strukturerat säkerhetsarbete måste påbörjas nu, eller vidmakthållas för dem som redan är med på tåget.
Thomas Nilsson
