Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter
For 11 år siden fik jeg nye venner. De befinder sig rundt om i Europa og resten af verden.
Mine venner og jeg har interessen for informationssikkerhed til fælles. Den interesse har bragt os sammen som medlemmer af to internationale grupper: TF-CSIRT og FIRST. Jeg er medlem af begge grupper, andre er kun med i den ene.
TF-CSIRT stod oprindelig for Task Force Computer Security Incident Response Team, idet organisationen opstod som en taskforce under de europæiske forskningsnets paraplyorganisation TERENA.
I dag er forskningsnettenes sikkerhedsorganisationer stadig med, men de udgør snart et mindretal i forhold til medlemmer fra andre organisationer og virksomheder. Jeg har nu i et år været medlem af TF-CSIRT’s steering committee.
FIRST (Forum of Incident Response and Security Teams) er en tilsvarende organisation, der blot har sine rødder i USA.
Gennem FIRST og TF-CSIRT har jeg lært en mængde sikkerhedsfolk at kende. Det er rigtig hyggeligt, når vi mødes. Og det er også en fordel i mit arbejde.
Uden om officielle kanaler
For eksempel kan der opstå en sikkerhedshændelse med rødder uden for Danmark. Her kan jeg sende en mail til en af mine kontakter i det pågældende land og høre, hvem jeg skal have fat i for at løse problemet.
Det er ofte hurtigere og enklere end at finde vej gennem de officielle kanaler.
Desuden udveksler vi erfaringer og gode råd, når vi mødes til de konferencer, der er en regelmæssig del af samarbejdet.
Senest havde jeg den fornøjelse at høre en af mine egne medarbejdere holde et indlæg om vores erfaringer med at modne sikkerhedsarbejdet i et team.
Da jeg efterhånden er et af de mere erfarne medlemmer, er jeg med til at byde nytilkomne velkomne i samarbejdet.
Ved at snakke med dem bliver jeg klogere på, hvad der rører sig – også hos organisationer, der er mindre modne sikkerhedsmæssigt end vi, der har været med i længere tid.
Konkurrenter mødes
Samarbejde er altså godt. Og det behøver ikke kun være internationalt.
Jeg har også stort udbytte af at deltage i lokalt samarbejde – fx som bestyrelsesmedlem i Rådet for Digital Sikkerhed. Her drøfter vi sikkerhedsemner, vi har til fælles som borgere, myndigheder og virksomheder i Danmark.
Når det gælder samarbejde, adskiller sikkerhedsområdet sig fra andre områder i erhvervslivet.
Jeg ville fx ikke kunne drøfte forretningsstrategi med personer ansat hos vores konkurrenter.
Men sikkerhed er et område, hvor truslerne udefra vejer tungere end konkurrencehensynet. De it-kriminelle samarbejder på tværs af grænser. Så det giver god mening, at vi andre også gør det.
Derfor er der fx oprettet en nordisk CERT (Computer Emergency Response Team) for nordiske finansinstitutioner, Nordic Financial CERT.
Medlemmerne konkurrerer hårdt indbyrdes. Men samtidig samarbejder de om at bekæmpe deres fælles fjender: De it-kriminelle, der angriber med phishing, malware og andre våben.
Samarbejde med kunderne
Jeg kan varmt anbefale at deltage i samarbejde med kolleger fra andre virksomheder.
Men samarbejde har også værdi, når det gælder virksomhedens kunder.
Måske tænker du mest på jeres kunder som nogen, der køber jeres varer eller ydelser. Men I har et bredere fællesskab: Din virksomheds informationssikkerhed og jeres kunders sikkerhed hænger sammen.
Derfor giver det mening at kommunikere med kunderne om sikkerhedshændelser og anden sikkerhedsrelateret information.
Som ved alt samarbejde gælder det også her: Det handler om tovejskommunikation.
Du skal ikke kun lytte til kundernes krav om sikkerhed. Du skal også fortælle dem om dine egne erfaringer og oplevelser. Dermed kan du bidrage positivt til at øge kundens sikkerhed.
Det er et område, jeg de senere år har arbejdet på at udvikle. Vi kalder det relationship management.
Det handler blandt andet om den rapportering, vi giver vores kunder. Den er lagt i faste rammer ud fra, hvad de ønsker at blive holdt orienteret om.
Endvidere holder vi jævnlige møder, hvor vi blandt andet taler om de seneste sikkerhedshændelser og hvordan vi og kunden har håndteret dem.
Sådan en dialog kan øge sikkerheden. Og som en god bivirkning viser den kunderne, at vi tager deres sikkerhed alvorligt. Dermed kan samarbejdet om sikkerhed være medvirkende til, at kunderne bliver mere tilfredse med os.
Det interne samarbejde
Når jeg her gennemgår forskellige typer af samarbejde om informationssikkerhed, må jeg ikke glemme noget af det vigtigste: det interne samarbejde.
Det handler om samarbejdet mellem informationssikkerhedsfolkene og den øvrige virksomhed: forretningsenheder, drift og ikke mindst udvikling.
Se det som en øvelse i intern branding: Resten af virksomheden skal høre, hvad informationssikkerhedsfunktionen kan bidrage med, og hvordan de drager nytte af den.
Samarbejdet handler blandt andet om at lære hinanden at kende: Forstå, hvad dine kollegers arbejde går ud på. Og hjælp dem med at forstå, hvilken rolle informationssikkerhed skal spille.
For eksempel kan der opstå et frugtbart samarbejde mellem udviklingsteamet og sikkerhedsfolkene, når sikkerheden inddrages tidligt i produktudviklingen. Så undgår man, at udviklerne en uge før lanceringen af en ny app spørger, om man ikke lige kan sikkerhedsteste den.
Samarbejde kræver dialog og respekt. Som sikkerhedsfolk skal vi have fokus på sikkerheden. Men vi må ikke glemme de interesser, vores kolleger på forretningssiden har: Brugervenlighed, stabilitet og time to market.
Så mit råd er at gå ind i samarbejdet med et åbent sind. Du kan gøre dine kolleger klogere – og du kan selv blive klogere.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.