- Simen Bakke, sikkerhetsrådgiver
Det har slått meg før, og det slo meg igjen. Sikkerhetsarbeidet er i mange offentlige virksomheter, preget av manuelt arbeid og menneskelige prosesser. Samtidig er systematikk, oversikt, kontroll og etterrettelighet - helt avgjørende for å ha kontroll med egen risiko. Dette er to forhold som ikke alltid går som hånd i hanske. Det manuelle arbeidet er ofte tidkrevende, upresist, krever kompetanse på flere nivåer og er preget av tidsforsinkelse. Spesielt utfordrende kan dette være for større virksomheter, uten etablerte KPI-er for automatisert måling av sikkerhetstilstanden. Derfor bør vi se nærmere på hvordan dette arbeidet kan automatiseres.
Hva er så parallellene mellom gaming og automatisert sikkerhetsstyring? Et spill er utformet som et "lukket" miljø hvor utviklerne sitter på alle relevante faktorer. Dette er naturligvis ikke tilfellet for en virksomhet som opererer i den "virkelige verden", hvor trussel- og risikobildet er i konstant endring. Virksomheten er først og fremst i posisjon til å kontrollere egne verdier og deres iboende sårbarheter. Trusselnivået er ofte usikkert og ukontrollerbart, og er en faktor man i mange tilfeller må akseptere å leve med. Nokså likt er tilfellet er for en gamer, som heller ikke har kontroll på truslene som utvikleren har forhåndsdefinert. Gameren, om vi bruker et first person shooter (FPS) som metafor, har derimot kontroll på helse, våpen og ammunisjon.
Sikkerhetsmåneden – en besværlig, men nødvendig sikkerhetsdult
Gaming-inspirerte VTS-analyser. Verdien i FPS-spillet, består i å holde seg i live for å løse oppdraget. En sentral sårbarhet, er å gå tom for ammunisjon. Blir gameren skutt på, gir spillet direkte tilbakemelding om at en sentral verdi (helsen) er under påvirkning fra en ondsinnet trusselaktør. Dersom gameren går tom for ammunisjon, blinker indikatoren rødt - slik at spillerens situasjonsforståelse og dermed også risikobilde, oppdateres umiddelbart. Spillet har med andre ord en rekke innebygde KPI-er for automatisk sanntidsmåling av relevante sikkerhetsfaktorer som verdier, trusler og sårbarheter. Informasjonen blir lekkert visualisert på en oversiktlig flate, noe som gjør det enkelt for brukeren å vurdere egen risiko - og vurdere strategier for risikoreduksjon. I mange tilfeller er spillene så forståelig og elegant designet at selv gamerens foreldre vil forstå hvilken informasjon indikatorene forsøker å formidle. Dette bør være til inspirasjon for enhver sikkerhetsleder, som forsøker å få topplederen til å forstå hvilket risikonivå virksomheten befinner seg i.
En dult er ikke nok
Fra en analog til en digital offentlig sektor. Offentlig sektor befinner seg på mange måter i digitaliseringens startfase. Ja, de fleste ansatte i offentlig sektor benytter EDB maskiner i sitt arbeid, og de innehar har både datakort og Office-kurs. Min påstand, er likevel at det er et godt stykke fra dagens manuelt pregede tilstand - til automatisert styring (herunder også sikkerhetsstyring) i offentlig sektor. I enkelte virksomheter, hvor verdikjedene er heldigitalisert og IKT-funksjonene er en integrert del av sikkerhetsstyringen - kan vi spore noen positive fremskritt. I sektoren som jeg selv tilhører, er opprettelsen av JustisCERT et eksempel på en mer fremoverlent holdning til sikkerhetsarbeidet.
Norsk oppstartsselskap får hjelp fra Mnemonic til å ta sikkerhetstjeneste ut i verden
Automatisering fremfor byråkrati. En helt sentral årsak til at automatisert (sikkerhets)styring vil være å foretrekke, er at det vil redusere byråkratiet i offentlig sektor. Jo større offentlig sektor vokser seg, og flere områder som underlegges lov- og regelverk som det skal kontrolleres etterlevelse av - desto større blir tilsyns- og rapporteringsbehovet. En konsekvens av dette, vil være at byråkratiet vokser. Ansattes ressurser fjernes dermed fra offentlig sektors primærfunksjoner, og tiden deres forsvinner til et voksende skjemavelde. Dette er en trend vi kan og bør snu, ved å hente inspirasjon fra blant annet gamingindustrien. En industri som i flere tiår har satt brukeren(spilleren), i sentrum. Dette er den foretrukne veien til fremtidens sikkerhetsstyring i det digitale Norge.
God nasjonal sikkerhetsmåned!
