Gaber du over mere, end du kan sluge?

Alt for mange it-afdelinger kan slet ikke optage alt den teknologi, de køber ind, skriver direktør for sikkerhed og identitet i CTGlobal, Henrik Lei Christensen, i dette synspunkt.
Brødtekst

Hvor meget kan du gabe over? Det bør være en helt essentiel vurdering, når man søsætter store sikkerhedsprojekter.  For det er det, der utroligt ofte går galt – fordi omfanget af forandringen undervurderes.

Det er min vurdering, at it-sikkerhedsafdelinger alt for ofte mangler realitetssans og reel indsigt i, hvordan tingene faktisk fungerer i den virksomhed, de skal beskytte, og glemmer at stille de åbenlyse spørgsmål: Hvad kan jeg udrette, og hvad har det – på godt og ondt – af indflydelse på resten af firmaet?

Kan jeg redde hele min verden i en stor, spektakulær indsats, eller skal jeg stille mig tilfreds med at forbedre den en bid ad gangen og uden de store bifald fra publikum?

For når man kigger rundt i virksomhederne, er det de samme forhold, der altid springer i øjnene: Hvorfor er det, at meget sikkerhedsteknologi aldrig bliver udnyttet i fuldt omfang? Hvorfor er det, at man næsten altid kan finde ubrugte licenser i organisationerne? Hvorfor er det, at så mange så ofte køber dyrt ind i forventningen om, at de i sidste ende sparer penge ved at købe den store bundle - blot for tre år senere at opdage, at udviklingen har overhalet ambitionen, som man aldrig nåede at indfri.

Hvad er årsagen?

Det er vel en grund til, at så mange sikkerhedsfolk synes, at de er under pres. Bestyrelserne vil se hurtige resultater, og ser stadig sikkerhed som en separat, afgrænset silo. Jeg læste for nylig i en artikel en påstand om, at 93% af danske topchefer er klar til at ofre it-sikkerheden, hvis den står i vejen for andre mål i forretningen. Hvis det er sandt, har vi her forklaringen på en stor del af problemet, for i enhver organisation vil sikkerhedsarbejdet uvægerligt belaste forretningen i starten. At man mener, at man kan ”ofre” it-sikkerheden er for mig absurd og i samme liga som at ofre økonomistyringen eller personaleafdelingen: Det kan man sikkert godt. Men det kommer i høj grad tilbage og rammer én selv med dobbelt kraft.

Privacy og regulering

Hvad kan ellers sætte en kæp i hjulet? Privacy for eksempel. Vi kan alle blive enige om, at privacy er relevant og vigtigt, men det er langt fra altid, at sikkerhed og privacy går hånd i hånd: Moderne sikkerhed baseres nemlig i høj grad på at opdage unormal eller mistænkelig adfærd, hvilket forudsætter dyb indsigt i forhold, der kan opfattes som værende private. Det giver anledning til mistillid til, hvad teknologien faktisk gør (eller kan misbruges til).

Meget ofte er sikkerhed og privacy således i konflikt, og ofte bliver fronterne trukket meget hårdt op, når de lidt tungere beslutninger skal tages. Det er præcis her, it-sikkerhedsafdelingerne undervurderer det mandat, de har fået. Ikke mindst, hvis deres fokus mest er på teknologien.

Og så er der regulering. Schrems II-debatten, som helt grundlæggende bunder i, at amerikanske virksomheder er underlagt amerikansk lovgivning, der giver myndighederne rettigheder, som vi i Europa ser som i strid med GDPR-reglerne. Den debat fortsætter med at spøge, og der er ikke umiddelbart udsigt til en afklaring. Konsekvensen af denne usikkerhed er desværre, at man mange steder bevidst forsøger at flyve under radaren og undgår at tage en dialog, som man ved ikke fører nogen vegne, så længe det er uafklaret på lovgivningsniveau. Det er bestemt ikke produktivt.

Sikkerhed som forandringsagent

Den nok største forhindring for at kunne konsumere sikkerhedsteknologi er stadig ganske basal: It-sikkerhedsafdelingen står på mål for at skabe forbedringer, men mangler fortsat at blive anerkendt i organisationerne som betroede forandringsagenter og at se sig selv som forandringsagenter.

It-sikkerhedsafdelingen undervurderer selv behovet for at samarbejde med HR, jura, it-drift, økonomi, produktion, marketing, salg etc. Og den øvrige forretning, specielt mellemlederne, får ikke tilstrækkelige meldinger fra topledelsen om, at it-sikkerhedsarbejdet skal prioriteres.

Så hvor it-sikkerhedsafdelingen tror, det er 1. prioritet, koste hvad det vil, så er den øvrige forretning ikke helt enig i prioriteten – hvis de da overhovedet er klar over, at der er en sådan prioritet. Og de forstår i øvrigt heller ikke den forandring, de bliver bedt om at supportere.

Dermed er de problemer/udfordringer, der er forudsætningen for at nå i mål med de forbedringer, forretningen forventer, ikke erkendt andre steder i selvsamme forretning end i it-sikkerhedsafdelingen selv. De afdelinger, som vil få glæde af forbedringerne, ved ikke, at - og hvorfor - arbejdet foregår. Og hvis de har fået en overordnet information om, at sikkerhedsforbedringerne er undervejs, forstår de oftest hverken, hvad det betyder, mens det foregår, eller hvad udbyttet vil være, når det er færdigt.

Resten af virksomheden har heller ikke samme ”sense of urgency” – den drukner typisk, når der bliver kommunikeret ned og ud i organisationen. Så selvom vigtigheden er købt af bestyrelsen og ledelsen, betyder det ikke, at salgsarbejdet nedad i organisationen kan stoppe.

Løsningen kan være nok så god, men hvis den får lov til at blive stående i hjørnet, er det skønne spildte kræfter…

Henrik Lei har tidligere berørt emnerne it-sikkerhed og -indkøb i hans indlæg til DigiTech fra 11. oktober 2021, "Flere penge giver ikke bedre it-sikkerhed."

Har du også lyst til at skrive et synspunkt til pro-medierne? Så send en mail med dit udkast til pro-sekretariat@ing.dk