Den här tiden på året när det ljusnar allt tidigare och fåglarna kvittrar allt mer är fantastiskt. Det känns lika fantastiskt att Sverige flyttat fram sitt informationssäkerhetsarbete. Då menar jag inte det arbete som sker på molnfri höjd, långt från verklighet och långt från reell nytta, utan den insikt och det faktiska arbete som görs i den verkliga verksamheten. Skillnaden sett över ett par år är avsevärd!
Ett tydligt tecken är under alla föredrag jag håller där allt fler deltagare kan kravområdena (konfidentialitet, riktighet, tillgänglighet och spårbarhet) som rinnande vatten. Diskussionen handlar allt mer om innebörden av konsekvensnivåerna (försumbar, måttlig, betydande, allvarlig) vilket är fantastiskt. Ännu mer fantastiskt är alla diskussioner och faktiskt arbete där informationsklassificering och återkommande riskanalyser leder till reella skyddsåtgärder.
Informationssäkerhetsarbetet ägs i allt större utsträckning av verksamheten och det är långt ifrån lika teknikdrivet som det varit under decennier. Insikten att en förbättrad rutin, en utbildning eller kanske ett tydligare regelverk ger större träffsäkerhet än en teknisk innovation talar sitt tydliga språk.
Samtidigt tror jag att det är just den tekniska innovationen som bidragit till informationssäkerhetsmognaden. Vi förstår i allt högre grad att sätta moln, mobilitet, IoT med mera i rätt perspektiv. Det finns inget rätt eller fel, utan alla frågor besvaras med ett ”det beror på” som återföljs av seriösa analyser som leder till allt mer genomtänkta beslut.
Det känns också fantastiskt att studera hur IT-infrastrukturen utvecklas. Från att ha gjort någon 90-tals separation mellan det onda (internet) och det goda (det ”interna” nätet) så har det även här skett en tillnyktring. Nu fokuseras det i större utsträckning på att skydda det som är skyddsvärt och inte längre låta infrastrukturen vara ett förlåtande lager för tillämpningar som knappt tål ett ping.
När jag för ett decennium sedan såg liknande indikationer var det mest de redan frälsta som idogt försökte få tåget i rullning. Nu när insikten finns hos allt fler och tåget faktiskt är i rullning så ser jag inget som kommer att kunna stoppa det. Eller?
Det finns krafter på molnfri höjd som oroar mig. De vill så klart väl, men lever så pass långt ifrån verkligheten att deras förbättringsarbete snarare riskerar att stjälpa än att hjälpa. Vad sägs om att föreslå en spårviddsändring för att komma tillrätta med problem som den spårbundna trafiken lider av? Visst, valet av dagens spårvidd är kanske inte perfekt, men när nästan alla tåg väl rullar så kanske det inte är rätt medicin.
När nu verksamheten har förstått nyttan av ett informationssäkerhetsarbete är det viktigt att inte göra allt för stora kursändringar. Visst finnas det förbättringspotential, det gör det alltid, men detta ska sättas i relation till den tidigare frånvaron av att se till informationens skyddsvärde.
Även om det finns en del orosmoln på himlen är det fantastiskt att se den förändrade synen. Den allt mer växande förmågan att värdera en informationstillgång och agera på grundval av det väcker starka känslor.
”Den ljusnande framtid är vår”
En albumtitel från 1980 i en tid av framtidstro men sannolikt med en helt annan framtidsbild än den vi nu lever i. Klart är att vi går en allt ljusare tid till mötes.
Thomas Nilsson
