.jpg)
- Katharine Cecilia Williams, PhD og spesialist i arbeids- og organisasjonspsykologi og Bjarte Malmedal, sjefskonsulent Experis cybersecurity
Under Nasjonal sikkerhetsmåned i oktober gjør myndighetene en ekstra innsats på digital sikkerhetsopplæring ute i norske bedrifter. Med noe ulike innfallsvinkler, har Thomas Tømmernes i Atea og Dan Ove Skaalerud i Junglemap stilt seg kritiske til sikkerhetsmåneden.
Tømmernes argumenterer at en avgrenset sikkerhetsmåned fører til at bedriftene, som resultat av denne påtvungne pliktøvelsen, kun fokuserer på datasikkerhet i oktober for deretter å gli over i en pubertal uoppmerksomhet som Tømmernes mener gjør seg gjeldende i norsk næringsliv.
_logo.svg.png){kind=logo}
I sin kommentar bruker Tømmernes barneoppdragelse som metafor i sin analyse av effektive tiltak og blir irriterende karakteristisk for publikums opplevelse av sikkerhetseksperters formaninger. Folk betraktes som barn som må oppdras, lære seg å rydde etter seg og ta sine daglige vitaminer. Dette er den belærende og nedlatende tonen man har lært å venne seg til, men vi ser ikke at dette kan bidra til å gjøre noen av partene klokere.
For å kunne påstå at noe ikke fungerer, er det nødvendig med en klar og etterprøvbar definisjon av hvilken effekt man ønsker (forslagsvis: at Nasjonal sikkerhetsmåned skal bidra til å styrke datasikkerheten). Dette er et viktig, men komplekst spørsmål som fortjener en grundigere, faglig gjennomgang enn Tømmernes anbefaling av egne kurs.
Skaalerud gjør et forsøk på en mer dyperegående analyse av effektive tiltak. Det er interessant å merke seg at han vektlegger psykologi og den menneskelige faktor i sin betraktning.
I motsetning til skippertak (altså den årlige sikkerhetsmåneden), slår han et slag for å etablere «en prosess», som han mener vil gi en mer varig resultatforbedring. I motsetning til Tømmernes som allerede har gjort sine slutninger, foreslår Skaalerud faktorer som kan gi mer effektive tiltak og anfører at «…en god lærings- og bevisstgjøringsmetode må ha innebygget i seg repetisjon og forsterkning.»
Her refereres det altså til betingingslæring som er omtrent like aktuell innen akademisk psykologi som Pavlovs hunder. Skaalerud argumenterer videre at problemet er knyttet til glemselskurven og refererer til Ebbinghaus, en referanse som er forhistorisk til grensen av det antikvariske.
Likevel er ikke mangel på aktuell eller faglig relevante henvisninger hovedproblemet, men at Tømmernes og Skaalerud problematiserer sikkerhetsmåneden uten å ha annet enn påstander som ikke er understøttet av data og anekdoter å vise til. Dersom målet er å styrke datasikkerheten i Norge og dersom tiltaket vi har i dag er Nasjonal sikkerhetsmåned, trenger vi å avdekke hvorvidt tiltaket fungerer eller ikke – før vi forkaster det.
Oktober er ikke bare en måned der sikkerhetsekspertene skal øse av sin kunnskap, det er også en anledning til å ta et overblikk over hva vi gjør og hvordan vi gjør det. La oss for all del diskutere innsatsfaktorene, altså når, hvor mye og hvor lenge vi gir sikkerhetsopplæring. Hvis vi derimot ønsker å øke effekten av sikkerhetsopplæringen, er det mer enn bare datostemplingen på kurset som spiller inn.
Vi vet fortsatt alt for lite om effekten av sikkerhetsopplæring. Hvis det er varig endring av menneskelige faktorer man ønsker å oppnå, må sikkerhetsbransjen alliere seg med fagmiljøer som beskjeftiger seg med menneskelige faktorer.
Vi må hele tiden ha som mål å gjøre vår jobb bedre, men vi må gjøre endringer basert på en faglig forsvarlig metodikk. Hvis ikke står vi i fare for å kaste barnet ut med badevannet.
