Under Dataföreningens säkerhetskryssning, som liksom många andra konferenser och event fått hoppa över ett år, fick jag möjligheten att lyssna till Tobias Ander. Som tidigare CISO på Transportstyrelsen, under det stora haveriet som inte behöver någon närmre presentation, har Ander långtgående erfarenheter som han snart delar med sig av i sin handbok om Informationssäkerhetskultur – Hur du bygger en säker organisation i en digital tidsålder.
Något som slog mig under föredraget, när vi kastat loss i Helsingfors, var de likheter som finns mellan en organisations framgångsfaktorer på informationssäkerhetsområdet, och de beteenden som är gynnsamma i de allra flesta relationer vi stöter på i livet.
Att våga prata om det här är stort. Informationssäkerhet är ett område som av många betraktas som tekniskt, juridiskt, komplicerat och på kryssningen deltog en skara IT-säkerhetsexperter och tre generaldirektörer. Andra talade om FN, harmoniserade regelverk och cybersäkerhet i för mig som jurist ganska tekniska termer. I Ander’s värld tycks dock inte informationssäkerhetsarbetet behöva vara så komplicerat. Det handlar om människor och är snarare komplext. Såsom jag tolkar det; mjukdelarna som är lite svårare att sätta fingret på; rädsla, oskrivna regler, det som sitter i väggarna.
Jag smålog och nickade lite för mig själv när vi kom till fråga om incidenthantering. Just det har jag arbetat med i stor utsträckning sedan GDPR’s intåg. Bland annat bildade jag en incidenthanteringsgrupp som skulle hjälpa ett flertal organisationer att komma igång med upptäckt och rapportering av personuppgiftsincidenter, men framför allt att dra lärdom av både egna och andras misstag. Sett i backspegeln var det kanske jag själv som tillskansade mig flest lärdomar, både av egna och andras misstag.
Incidenthanteringsgruppens metoder implementerades framgångsrikt i en av organisationerna. Där fanns det god kommunikation och transparens, avsatta tidsresurser och tydliga mandat, samtliga oumbärliga aspekter för en tillåtande kultur. Ander kallar dessa för basförutsättningar, och precis enligt hans teori så havererade mitt arbete i en annan organisation, där ovannämnda komponenter inte fanns på plats. Av avgörande betydelse var också ledningens stöd (eller icke-stöd) för gruppen, inte att förringa.
Det är viktigt att skapa en kultur där det är enkelt att rapportera in misstag och att vi inte behöver vara rädda för det, en så kallad rapporterande kultur enligt Ander. ”Tack för att du rapporterar in det här problemet, så att jag får möjlighet att göra något åt det.” (Tänk om vi förhöll oss så i alla våra kärleksrelationer.)
Vi behöver också skapa en kultur där vi inte är rädda för repressalier eller syndabockstänkande, en av Ander så kallad rättvis kultur. För att uppnå det behövs enligt mig ett tydligt ramverk som bygger på accepterade överenskommelser som gäller alla. (Här är kärleksparallellen att det är ok att jag träffar andra, men inte du, men vi är inte överens om det, eller tydliga för den delen. Vem går ostraffat ur det?)
Slutligen så gäller det att skapa en kultur där vi inte behöver begå våra misstag om och om igen, en av Ander så kallad lärande kultur. Här förutsätts givetvis att vi vågar rapportera in problem i första skedet. Och i en lärande kultur förstår vi att vi kommer att stöta på oönskade händelser. Frågan är vad vi gör av dem.
Det finns inga paketlösningar på hur vi ska hantera våra problem, så istället kommer nu tre sammanfattande tips till er som inte fick chansen att delta på säkerhetskryssningen. Har du inte gjort det förr så passa nu på att ta de första stegen mot ett framgångsrikt informationssäkerhetsarbete, eller varför inte en fungerande kärleksrelation:
1. Var öppna med misstag, så att vi kan lära av dem.
”Behandla fel och misstag som information och kunskap” skriver Ander.
2. Ha tydliga, accepterade regler som gäller alla och som på ett flexibelt vis uppdateras kontinuerligt. Ha en ”tydlig gräns mellan acceptabla och oacceptabla fel.” ”Dansa med problemet, var ödmjuk och ompröva beslut och verktyg” tipsar Ander.
3. När en incident inträffar – ta fram en åtgärdsplan.
Hur ska vi se till att detta inte händer igen? Hur ska vi se till att alla är med på det nya tåget? Hur följer vi upp på ett kärleksfullt vis?
Med stort tack till, ja, behöver jag nämna hans namn igen?
Liv Zettergren, jurist och dataskyddsombud
