Kommentar

Når norske sikkerhetsmyndigheter foreskriver skippertak som metode i 2019

Illustrasjonsfoto.
Illustrasjonsfoto. Foto: Colourbox
1. okt. 2019 - 18:00

Denne kommentaren gir uttrykk for skribentens meninger.

  • Dan Ove Skaalerud, Adm. dir. Junglemap AS
Dan Ove Skaalerud, Adm. dir. Junglemap AS. Foto:  Junglemap
Dan Ove Skaalerud, Adm. dir. Junglemap AS. Foto:  Junglemap

Roar Thon fra NSM og Trude Talberg-Furulund fra NorSIS går i artikler på digi.no den 29. og 27. september til forsvar for Nasjonal sikkerhetsmåned, og i rette med Thomas Tømmernes' gode tankevekker rundt samme tema den 26. september

Argumentene til Thon og Talberg-Furulund kan kanskje summeres som «å gjøre noe i oktober er bedre enn å ikke gjøre noe» og «hva er alternativene?» 

Jeg tror at myndighetene bør trå forsiktig her, det de sier kan faktisk komme i veien for det man egentlig bør gjøre av tre grunner – og nøkkelordet her er prosess. Det er ikke mange områder i en virksomhet som får en varig resultatforbedring – eller i dette tilfellet, en varig risikoreduksjon – uten å ha eller etablere en prosess. Skippertak gir liten effekt over tid.

For det første, en god lærings- og bevisstgjøringsmetode må ha innebygget i seg repetisjon og forsterkning. Spørsmålet blir da, hva gjør man for å repetere og forsterke de neste 11 månedene i året? Når myndighetene ikke virker å ha noen annen tanke om hva man bør gjøre, men argumenterer for at en oktober-«dult» eller «å gjøre noe er bedre enn å ikke gjøre noe» så blir det litt lite til hjelp? 

Ekstra innsats i oktober er ikke synonymt med årvåkne ansatte i de neste 11 månedene, så når oktober er over, er risikoen allerede på vei oppover igjen

For det andre, en lærings- og bevisstgjøringsprosess relatert til digital sikkerhet (og man kan godt ta med personvern her også) må bidra til robust årvåkenhet i hverdagen. Alle – både individer og organisasjoner – har en glemselskurve, vi glemmer raskt det vi har lært (Ebbinghaus m.fl.). Ekstra innsats i oktober er ikke synonymt med årvåkne ansatte i de neste 11 månedene, så når oktober er over, er risikoen allerede på vei oppover igjen. 

Det tredje en lærings- og bevisstgjøringsprosess må bidra til, er en kontinuerlig dialog i organisasjonen om sikkerhet og personvern – året rundt. Igjen, en impuls i oktober skaper liten dialog eller effekt i mars. 

Sagt litt billedlig, å ta en liter tran i oktober bidrar antakelig lite til en varig helseeffekt. 

Hva om Sikkerhetsmåneden faktisk bidrar til økt risiko, i og med at myndighetenes «metode» ikke bidrar til, eller kanskje til og med kommer i veien for læring og bevisstgjøring hele året rundt

Trump ga ordren – nå vet vi hvem som teknisk stengte ICC-anklager Karim Khan ute fra Microsoft-kontoen.
Les også:

Slik ble Microsoft-kontoen hans stengt

Jeg er selv kjent med velkjente norske myndigheter og kommuner, som nå planlegger å gjøre sin årlige opplæring i oktober, og som ikke har budsjettert eller planlagt å gjøre noe utover dette det neste året. Hva om dette er en konsekvens av Nasjonal sikkerhetsmåned? 

Min oppfordring til de nevnte myndighetene må være å bidra til læring og bevisstgjøring rundt digital sikkerhet og personvern året rundt – på godt og vondt – og å foreskrive årshjul, prosesser, metoder og virkemidler for hvordan man gjør dette. 

For øvrig vil jeg gjerne berømme Roar Thon, NSM og NorSIS for det de ellers gjør i hverdagen.

Les også tidligere innlegg i denne debatten:

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra