(BARCELONA) Sikkerhet er et tilbakevendende tema overalt hvor IT-folk ferdes, også her på Gartner Symposium ITxpo.
Inn på scenen trer Gartner-analytiker Tom Scholtz med dette budskapet:
– Dagens modell for IT-sikkerhet fungerer ikke. Vi trenger et alternativ. Jeg foreslår å avskaffe sikkerhetskontroller. Jeg mener det vil redusere risikoen for sikkerhetsbrudd.
Foredraget til Scholtz hører til en kategori som Gartner kaller «maverick», det vil si «kjerring mot strømmen». Selskapet går ikke god for Scholtz’ synspunkter, men mener det er hensiktsmessig å la ham lufte dem.
– Jeg tror vi for lenge har behandlet folk som om de var barn. Behandler man folk som barn, oppfører de seg som barn. Det er grunnen til så mye barnslig opptreden i forhold til IT-sikkerhet. Vi kontrollerer og straffer og hindrer og sier nei til det store flertallet fordi vi tror det er det som må til for å motvirke den lille ondsinnede andelen på 2 til 3 prosent. Men er det ikke slik at det store flertallet ønsker å benytte seg av digital informasjonsbehandling for å fremme organisasjonens interesser? Er det da hensiktsmessig å legge hindringer i veien?
Scholtz foreslår et tankeeksperiment: Hva ville skje om vi sluttet å stramme inn og heller gir folk friere tøyler?
– Byråkratiet blir mindre. Moralen blir bedre. Kostnadene blir mindre. Med større frihet vil folk ha større anledning til å utnytte ny teknologi. I stedet for å prøve seg fram i det skjulte, vil alt foregå åpent.
Poenget til Scholtz er at forebyggende kontroller ikke bare sperrer for dårlige ting, de legger også hindringer i veien mot å oppdage og utnytte nye muligheter, for eksempel i nye mobile enheter og skytjenester.
– Diktat ovenfra skaper frustrasjon, vrede og forakt. Det er noe av årsaken til at ansatte jevnt over har liten respekt for IT-avdelingene. Folk vet at når IT-ledelsen snakker om BPD som «business process development» dreier det seg egentlig om nok en innstramming fra «business prevention department».
Løsningen er da å erstatte hierarki, byråkrati og tunghendt håndheving med prinsippet om frihet under ansvar. (Scholtz bruker ikke akkurat denne formuleringen, og han innrømmer overfor digi.no at han ikke kan Ibsens Fruen fra havet. Men han nikker erkjennende når jeg forteller om skuespillets punchline.)
– Det dreier seg om å ta egne avgjørelser, med utgangspunkt i eget ansvar. Det er selvfølgelig ikke risikofritt. Det vil svikte fra tid til annen, slik det også gjør med dagens metode. Men det vil svikte mindre enn i dag, og de positive følgene av den økte friheten gjør det uomgjengelig å prøve seg fram.
Frihet under ansvar betyr at folk får flere rettigheter. Det fordrer en endring i kultur. Prinsippet fungerer ikke dersom folk ikke slutter å tenke at de kan gjøre hva de vil så lenge ingen oppdager det.
– Måten bedriften reagerer på sikkerhetsbrudd må endres. Det vanlige i dag er en form for kollektiv avstraffelse, ved at rettigheter inndras. Det må erstattes av selve bruddet påtales straks det begås. Her er åpenhet en styrke: Risikoatferd i forhold til informasjon vil oppdages. I utgangspunktet kan man gå ut fra at det er et uhell. Gjentatte uhell kan gjenspeile ondsinnethet, og i så fall må reaksjonen bli strengere.
Overgang fra kontrollsentrert til menneskesentrert IT-sikkerhet krever opplæring i prinsippene som ligger til grunn for rettighetene man får for det ansvaret man tar.
Det betyr ikke slutt på teknologiske sikkerhetstiltak: Brudd må kunne oppdages, og følgelig må nettverkstrafikken overvåkes. Sikkerheten bygger på brukernes løpende avgjørelser: De må stå til ansvar for det de gjør, og det må følgelig være åpenhet rundt det alle gjør.
Poenget er at sikkerhetspolitikken kan formuleres i form av rettigheter og ansvar. Plakaten på bildet øverst i denne artikkelen er et forslag. Teksten kan oversettes slik:
- Ansatte har rett til å avgjøre hvordan og når de skal benytte seg av IT-systemene og informasjonen som ligger i disse systemene.
- Ansatte har ansvar for å verne om IT-systemene og informasjonen som de benytter seg av.
- Ansatte har ansvar for følgene av sine avgjørelser og handlinger.
- Ansatte har ansvar for å diskutere og rapportere om mistenksom eller skadelig atferd og virksomhet.
– Det siste punktet kan antakelig formuleres bedre. Det må for all del ikke legges et grunnlag for uberettiget mistanke og angiveri, sier Scholtz.
Scholtz sier han har materiale fra to vellykkede implementeringer av dette synet på IT-sikkerhet, fra henholdsvis en bank og en bedrift innen jordbruksindustri.
– For banken var det en del av en helhetlig strategi for å fremme sikkerhet gjennom større åpenhet, gi ansatte større ansvar og å gjøre det lettere å dra nytte av nye arbeidsmetoder med innslag av personlig IT-utstyr. I stedet for å tilby kontroll og sperringer, tilbyr IT sikkerhetsrelaterte tjenester. Resultatet er at sikkerhetsbrudd ikke lenger betraktes som IT-avdelingens skyld, men som brukerfeil. Sikkerhet betraktes som en støtte, ikke som en hindring. At miljøet framstår som mer åpent gjør det lettere å overvåke for å avdekke unntakene.
Den andre bedriften tok prinsippene lenger, og har vedtatt å legge seg på en organisasjonsfilosofi basert på at ansatte styrer seg selv. Potensielle ansatte advares at kulturen er spesiell, og at de må vurdere om de passer inn. Nyansatte må gå med på at ansettelsesforholdet ikke vil forlenges utover en prøveperiode dersom bedriften finner ut at de ikke passer til organisasjonsfilosofien. Det er minimalt med intern kontroll over informasjon, men standard IT-sikkerhet i randsonen. Kulturen skaper en åpenhet som gjør det enkelt å avdekke brudd og svindelforsøk.
