Denne klumme er et debatindlæg og er alene udtryk for skribents synspunkter.
”Vi bør investere i et IDS, der på længere sigt kan udbygges til et IPS. Det er nødvendigt for at imødegå truslen fra APT’er.”
Kan du høre dig selv sige den sætning til dine overordnede? Så har du et problem, som du deler med mange af os sikkerhedsfolk.
Det handler om kommunikation. Som sikkerhedsansvarlig er det mindst lige så vigtigt, at du kan kommunikere klart og tydeligt, som at du har styr på det it-faglige.
Jeg mener ikke, vi kan bebrejde forretningsledelsen, hvis den ikke forstår den sætning, jeg indledte denne klumme med. Det er ikke en direktørs opgave at kende til IDS’er, IPS’er og APT’er.
Jeg vil bede dig overveje fem spørgsmål:
• Kommunikerer du klart med din ledelse?
• Ved din ledelse, hvor virksomheden står i forhold til ressourcer og mål til sikkerhed?
• Ved du selv, hvilken retning sikkerhedsskibet skal sejle?
• Ved dine medarbejdere, hvorfor de møder på arbejde om morgenen?
• Er det dig selv, der er svær at forstå?
Kommunikerer du klart med din ledelse?
Ledere tænker i strategier, taktikker og risici. Derfor er de lettere at få i tale, hvis du taler deres sprog.
I stedet for at tale om APT’er (Advanced Persistent Threats) må du overveje, hvilke konsekvenser truslerne kan få. Så kan budskabet til ledelsen lyde:
”Vi har opdaget nogle angrebsforsøg, der ser ud til at stamme fra en nationalstat. De medfører risiko for industrispionage, hvor vi kan miste vigtige forretningshemmeligheder. Den risiko kan vi mindske ved at investere i mere effektive værktøjer til at beskytte vores værdier.”
Når budskabet er formuleret, så modtageren forstår det, har du større chance for at få de ressourcer, du har brug for.
Ved din ledelse, hvor virksomheden står i forhold til ressourcer og mål til sikkerhed?
Alle vil gerne have nye funktioner. Ingen er interesseret i noget, der gør deres hverdag mere besværlig.
Det er den konstante udfordring for os som sikkerhedsansvarlige: Vi skal sælge budskabet om noget, der sjældent giver nye funktioner, og som nogle gange ligefrem stiller besværlige krav.
Det gør det ekstra vigtigt, at vi er på banen, når virksomheden indfører ny teknologi. Vi skal sørge for, at sikkerhedsvinklen er tænkt ind fra starten, før vi lancerer et nyt produkt eller en ny tjeneste.
Derfor skal ledelsen have at vide, at ethvert it-tiltag skal have et tilknyttet sikkerhedstiltag. Og den skal vide, hvad det koster.
Ved du selv, hvilken retning sikkerhedsskibet skal sejle?
Sidder du indimellem og behandler sikkerhedshændelser i jeres ticket-system? Så bruger du sandsynligvis din tid forkert.
Som ansvarlig for informationssikkerheden er det din opgave at bevare overblikket. Du skal ikke bruge din tid på detaljer.
Du skal vide, hvad vej du ønsker at styre organisationen, når det gælder sikkerhed.
Når du har afgjort det, er arbejdet kun lige begyndt. Næste skridt er at finde ud af, hvordan du gennemfører din strategi.
Ved dine medarbejdere, hvorfor de møder på arbejde om morgenen?
Medarbejderne er dem, der skal udføre strategien i praksis.
Derfor er det altafgørende, at de kender og forstår strategien.
Men det er ikke nok at kende strategien. Den enkelte medarbejder skal også vide, nøjagtig hvad vedkommende skal gøre i praksis, for at vi kan levere på vores strategi.
Det gælder både den overordnede virksomhedsstrategi og den strategi for informationssikkerhed, som du er ansvarlig for.
Hvis dine medarbejdere ikke ved, hvorfor de møder på arbejde, er det sværere at holde på dem. Det er et problem i en tid, hvor det er en udfordring at finde kvalificerede sikkerhedsfolk.
Også de, der ikke direkte arbejder med sikkerhed, skal kende sikkerhedsstrategien og efterleve den. Jo flere der er opmærksomme på sikkerheden, desto færre problemer bliver der, som dine sikkerhedsfolk skal rydde op efter.
Er det dig selv, der er svær at forstå?
Måske har du selv afleveret en sætning i stil med den, jeg skrev i begyndelsen af denne klumme.
Hvis du har oplevet, at topledelsen ikke gav dig de ressourcer, du bad om, er det en anledning til selvransagelse.
Budskabet er rigtigt nok. Der er sikkert heller ikke noget i vejen med ledelsen.
Problemet ligger i den måde, budskabet blev kommunikeret på. Hvis ledelsen ikke har forstået budskabet, er det ikke ledelsen, men budskabet og dermed afsenderen af budskabet, der har fejlet.
Så måske skal dit næste kursus ikke handle om sikkerhedsteknologi – men om kommunikation mellem mennesker?
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.