Den største sårbarheten: manglende vilje til samarbeid

/post - Offentliggjort:

Det er ingen virksomheter som ikke i dag er utsatt for digitale trusler. Men mens tekniske løsninger og strategier er avgjørende, er det like viktig å bygge en organisasjonskultur med høy grad av relasjonell kapasitet - for uten intern tillit til hverandre, blir prioriteringene uten sammenheng. Dette betyr å ha ledere og ansatte som er gode på å kommunisere, lytte og samarbeide på tvers av avdelinger og hierarkier.

I april i år hadde jeg gleden av å delta på e-Helsedirektoratets fagsamling for sikkerhetsledere. Et gjennomgangstema i foredragene der var to sider av samme mynt - hvordan få ledelsen til å lytte til fagekspertene, og også hvordan man kan jobbe for å bedre forankre sikkerhetsarbeidet i ledelsen. Det ble også en reprise av et foredrag fra desember, om sikkerhet som del av kvalitetsstyringen, i et webinar gjennom Kvalitet og Risiko Norge. Vi var også innom temaet ledelse og operasjonalisering på et seminar hos Dataforeningen i februar. Dette er med andre ord et tema jeg har tenkt en god del på det siste halvåret, og som også virker å oppta mange som jobber med informasjonssikkerhet. Sannheten er at det er fryktelig vanskelig å integrere god sikkerhetstenkning i måten organisasjoner virker på.

Jeg tenker at det i denne sammenhengen er et delt ansvar mellom virksomhetsledere og fageksperter. Den avgjøreende faktoren for å lykkes med å integrere sikkerhet i virksomhetsstyringen er vilje til å samarbeide. Denne viljen synes dessverre ofte å være mangelvare, og skyldes muligens at forskjellige profesjoner har en usunn og iboende skepsis til både intensjonene til andre faggrupper, og også kompetansen til disse. Uten tillit og felles intensjon, kommer vi til kort.

Her kan vi ta i bruk noen konkrete verktøy, uansett hvilken side av mynten vi bor på: lytting og kommunikasjon med Schulz von Thuns modell med 4 ører, bygging av en lærende organisasjon med høy grad av relasjonell kapasitet, og målrettet arbeid med styringssystemet slik at organisasjonen får til samhandling om sikkerhet mellom ansatte, cybereksperter, leverandører og ledere i praksis.

Samhandling

Hvorfor vil ikke sjefen høre på meg?

Et vanlig hjertesukk blant sikkerhetsledere, ingeniører og CISO-er er

Sjefen er ikke interessert i sikkerhet - ingen hører på hva jeg har å si, og jeg blir ikke engang invitert til viktige møter hvor beslutningene tas!

Hvorfor skjer dette? Rent anekdotisk virker dette mer å være regelen enn unntaket når man snakker med folk som jobber med informasjonssikkerhet til daglig. Det kan være mange faktorer som bidrar til denne kommunikasjonssvikten. Her er noen forklaringsmodeller som sikkerhetsfolkene gjerne drar frem:

  1. Ledelsen er ikke interessert i sikkerhet
  2. De er inkompetente og forstår ikke at dette er viktig
  3. De tenker at dette er håndtert av IT-avdelingen og at de ikke trenger å være involverte

Om vi spør lederne om de får relevant informasjon om informasjonssikkerhet fra sikkerhetsekspertene, er svaret ganske ofte "nei". Om vi så spør hvorfor, har de også noen forklaringer som ofte går igjen:

  1. De kommer bare med teknisk statistikk som ikke gir noen mening for forretningen
  2. De forstår ikke hva som faktisk er viktig for kundene våre, og det gir ikke mening å bruke for mye tid på dette
  3. Jeg får sjeldent svar på det jeg faktisk spør om

Ut fra disse heller anekdotiske forklaringene, men som jeg har hørt tilstrekkelig ofte til at jeg tenker dette ikke bare er tilfeldigheter, koker det ned til at vi ikke klarer å snakke godt med hverandre. Og dette har vi et felles ansvar for å rydde opp i!

Her kan kommunikasjonsmodeller hjelpe. En vanlig brukt modell blant konsulenter er Schulz von Thuns modell med fire ører. Når noen snakker, er det ikke bare saksinnholdet de sender ut informasjon om - vi må som lyttere også ta andre perspektiver med. Derfor trenger vi fire ører:

  1. Saksinnhold: det som beskjeden inneholder i form av ord og setninger
  2. Selvangivelse: den som kommuniserer avslører samtidig noe om seg selv
  3. Relasjon: den som kommuniserer sier noe om hvordan hen oppfatter relasjonen mellom avsender og mottaker
  4. Apell: hva ønsker avsenderen at mottakeren skal foreta seg på bakgrunn av kommunikasjonen

Vannballong

Både avsender og lytter kan bruke modeller som dette til å forbedre kommunikasjonen. La oss anta at Petra er daglig leder i selskapet Vannballong AS, og at Hans er IT-sikkerhetssjef. Selskapet driver en nettbutikk som selger at innen vannballonger og tilhørende utstyr, og Hans skal rapportere om trusselbildet og selskapets sikkerhetsnivå til å ta med i neste års budsjett.

Petra har invitert Hans inn på kontoret mandag morgen, og ber han om å beskrive hva han trenger, hvorfor, og hvor mye det koster. Hans begynner med å beskrive situasjonen som følger:

"Det har de siste 12 månedene vært økende APT-aktivitet mot kommersielle selskaper fra aktører med tilknytning til russisk etterretning. De har økt bruken av automatiserte angrep mot kritisk infrastruktur, og de har systematisk begynt å ta over eksisterende botnets til å gjøre dette. Med vår SIEM-løsning og discovery-mekanismer henger vi etter for å kunne avverge avanserte angrep. Vi må derfor investere tungt i AI-baserte IDS-systemer som kan gi oss et effektivt dybdeforsvar mot avanserte angrep fra statlige aktører".

Dette er såklart satt på spissen, men liknende ting blir sagt til daglige ledere i vanlige selskaper altfor ofte. Hva er Petras reaksjon på dette?

Reaksjon 1

Petra forstår ikke saksinnholdet, eller hva dette kan ha med det å selge vannballonger å gjøre. Hun avbryter det hele med å si at rammen for sikkerhet kan justeres med konsumprisindeksen fra året før og at sikkerhetsbudsjettet vil bli økt med 5%. Det blir Hans jobb å sørge for at de tåler truslene fra nettet.

Reaksjon 2

Petra forstår ikke saksinnholdet, men er fast bestemt på å få til bedre kommunikasjon og håndtering av digital risiko.