Åsa Schwarz är säkerhetskonsult på Cybercom.
När jag började skriva den här krönikan hade jag tänkt lista några tekniska trender. Efter ett par dagars funderingar utkristalliserades en helt annan vinkel.
Förutom bring-your-own-device-diskussionen är kommande års utmaning för säkerhetschefer inte alls av teknisk karaktär. Den stora utmaningen är att våga ta medvetna risker.
Två saker har drivit på utvecklingen. Det ena är den ekonomiska krisen i Europa, det andra är att it-säkerhet har blivit en viktigare del i affärsutvecklingen eftersom de flesta leveranser numera är helt beroende av it. Därmed blir it-säkerhet en allt större kostnadspost i resultaträkningen.
Med att våga ta medvetna risker menar jag:
Våga mäta säkerheten
Att mäta säkerhet är inte en exakt vetenskap. Det krävs ett antal beslut för att komma fram till vad som är mest relevant för din verksamhet.
Den ena fallgropen är att för mycket mäts och att projektet aldrig blir en löpande verksamhet eftersom det är för betungande.
Den andra är att inget mäts av rädsla för att mätresultaten inte blir exakta. Men hur vet du var resurserna läggs bäst om du inte har något underlag?
Våga prioritera och välja bort
Alla säkerhetsåtgärder är inte lika viktiga. Några är till och med direkt onödiga för ditt företag.
Se till att de stora besluten fattas av ledningsgruppen. Ta fram ett väl genomarbetat underlag baserat på mätresultat, incidenter och riskanalyser som du regelbundet presenterar.
De mindre besluten ska ligga hos kundansvariga och affärsutvecklare.
Våga säga ja
I det löpande arbetet dyker det ständigt upp frågor när nya tjänster ska utvecklas. Ofta kommer säkerheten sent in i processen. Det är då lätt att krampaktigt klamra sig fast i standarder och säga nej. Försök i stället att hitta en lösning.
Det bästa är om kostnaden för säkerhet redan finns med i beslutsunderlaget innan nya tjänster utvecklas. Då har verksamheten en chans att fatta vettiga beslut.
Våga erkänna att du inte kan allt
Inte sällan har jag sett att det uppstått skyttekrig i stället för samarbete mellan tekniker och säkerhetschefer.
Säkerhet är ett stort ämne och det är omöjligt att följa med i all ny teknik.
Ofta finns tekniker som är kunnigare än säkerhetschefen inom specifika områden. Däremot är det säkerhetschefen som ser helheten och kan metoder och processer.
I dagens utveckling måste säkerhetschefen byta roll från beslutsfattare till metodledare. De förväntas inte bara att kunna nerdiga säkerhetsstandarder utan också att lämna ekonomiska underlag till affärsmässiga beslut . De säkerhetschefer som vågar ta och rekommendera medvetna risker kommer att guida sitt företag till framgång i krisens Europa.
2012 har vi inte råd att alltid ta det säkra före det osäkra.
[I den tryckta upplagan av Computer Sweden har slutet av Åsa Schwarz krönika olyckligtvis fallit bort. Stycket efter "... metoder och processer" saknas därför i tidningen].
Förutom bring-your-own-device-diskussionen är kommande års utmaning för säkerhetschefer inte alls av teknisk karaktär. Den stora utmaningen är att våga ta medvetna risker.
Två saker har drivit på utvecklingen. Det ena är den ekonomiska krisen i Europa, det andra är att it-säkerhet har blivit en viktigare del i affärsutvecklingen eftersom de flesta leveranser numera är helt beroende av it. Därmed blir it-säkerhet en allt större kostnadspost i resultaträkningen.
Med att våga ta medvetna risker menar jag:
Våga mäta säkerheten
Att mäta säkerhet är inte en exakt vetenskap. Det krävs ett antal beslut för att komma fram till vad som är mest relevant för din verksamhet.
Den ena fallgropen är att för mycket mäts och att projektet aldrig blir en löpande verksamhet eftersom det är för betungande.
Den andra är att inget mäts av rädsla för att mätresultaten inte blir exakta. Men hur vet du var resurserna läggs bäst om du inte har något underlag?
Våga prioritera och välja bort
Alla säkerhetsåtgärder är inte lika viktiga. Några är till och med direkt onödiga för ditt företag.
Se till att de stora besluten fattas av ledningsgruppen. Ta fram ett väl genomarbetat underlag baserat på mätresultat, incidenter och riskanalyser som du regelbundet presenterar.
De mindre besluten ska ligga hos kundansvariga och affärsutvecklare.
Våga säga ja
I det löpande arbetet dyker det ständigt upp frågor när nya tjänster ska utvecklas. Ofta kommer säkerheten sent in i processen. Det är då lätt att krampaktigt klamra sig fast i standarder och säga nej. Försök i stället att hitta en lösning.
Det bästa är om kostnaden för säkerhet redan finns med i beslutsunderlaget innan nya tjänster utvecklas. Då har verksamheten en chans att fatta vettiga beslut.
Våga erkänna att du inte kan allt
Inte sällan har jag sett att det uppstått skyttekrig i stället för samarbete mellan tekniker och säkerhetschefer.
Säkerhet är ett stort ämne och det är omöjligt att följa med i all ny teknik.
Ofta finns tekniker som är kunnigare än säkerhetschefen inom specifika områden. Däremot är det säkerhetschefen som ser helheten och kan metoder och processer.
I dagens utveckling måste säkerhetschefen byta roll från beslutsfattare till metodledare. De förväntas inte bara att kunna nerdiga säkerhetsstandarder utan också att lämna ekonomiska underlag till affärsmässiga beslut . De säkerhetschefer som vågar ta och rekommendera medvetna risker kommer att guida sitt företag till framgång i krisens Europa.
2012 har vi inte råd att alltid ta det säkra före det osäkra.
[I den tryckta upplagan av Computer Sweden har slutet av Åsa Schwarz krönika olyckligtvis fallit bort. Stycket efter "... metoder och processer" saknas därför i tidningen].
Den här artikeln har 0 kommentarer:
Molnigt på idg.se?
