Situationen udspillede sig på en vittighedstegning, som jeg faldt over engang. Som daværende kommunikationsansvarlig i en it-sikkerhedsvirksomhed, synes jeg, dette var umådelig morsomt. Der er her tale om mødet mellem to fagområder, som er uhyggelig nært beslægtede, selvom de ikke opfattes sådan af mange, nemlig it-sikkerhed og kommunikation.
I denne joke sidestilles ”information” med ”kommunikation”. Hvis kommunikationen er uforståelig for alle, så er det lige meget med informationernes sikkerhed. Uforståelighed i kommunikation sættes nemlig lig med en form for ”kryptering”. Dermed kunne man udlede, at dårlig kommunikation er lig med kryptering, som er lig med sikkerhed.
Med fare for at overfortolke en simpel vittighed, så er der faktisk noget at udlede, som mange organisationer kan nikke genkendende til: Både kommunikation og informationssikkerhed kan forbedres. Samtidig illustreres en hel central konflikt: 1) it-sikkerhed forstås bedst af de ansvarlige eksperter, og 2) it-sikkerhed er et lavinteresseområde, som de fleste tror, de forstår sig på.
Problemer opstår for alvor, når ledelsen i organisationen skal tage beslutninger på it-sikkerhedsområdet. Det kræver, at de it-ansvarlige er i stand til at kommunikere sig ud af den lave interesse samt formidle ekspertstof uden at sætte ledelsen af i processen. Held og lykke med opgaven!
Ekspertsyndromet
De fleste it-sikkerhedsansvarlige laver den generelle fejl at kommunikere om deres stof med udgangspunkt i deres egen virkelighed. Det er en virkelighed, der er præget af mange abstraktionsniveauer, høje detaljeringsgrader og indforstået sprogbrug. Altså et ekspertfelt, hvor selv den laveste fællesnævner for eksperten, er uforståelig for den modsatte part. Sagt med andre ord: Ledelsen forstår ikke it-sikkerhed. Og it-sikkerhed forstår ikke ledelse. Først når it-sikkerhedslederen forstår at sætte sig ind i ledelsens synspunkter og agenda, og formår at formidle it-sikkerhedsbudskabet ud fra dé forudsætninger, er chancerne for at komme godt igennem gode!
Lidt firkantet kan man sige, at ledelsen interesserer sig for få hovedområder: økonomi, forretningsudvikling og -vækst, kunder samt image. Lige efter kommer de enkelte dele, der influerer disse områder, så som medarbejdere, drift og salg. Først derefter kommer de infrastrukturer, som understøtter virksomhedens forretningsprocesser, herunder it- og it-sikkerhed (og kommunikation).
Vil man kommunikere til denne målgruppe, må man derfor sætte sine budskaber i kontekst til de områder, der har ledelsens største fokus. Altså, hvis it-sikkerheden har indvirkning på forretningen, så må dette være fokus for kommunikationen. Dermed må komplicerede tekniske udredninger og argumentationer udelades.
Sikkerhed i forretningsperspektiv
It-processer er i dag en vital del af mange virksomheders drift. Intet andet område er i samme grad med til at opretholde forretningen. Det skulle da lige være medarbejderne, som bruger, driver og vedligeholder it, men dette kommer jeg tilbage til.
I-sikkerhed er derfor en vigtig del af forretningen - dels grundet fortrolighed og integritet af forretningskritiske data, men også grundet funktionalitet for vitale systemer. Motoren i disse systemer er interessante for it-folket men ikke for alle os andre. Til gengæld er effekten af systemerne interessant for os andre, på forskellige niveauer. Populært sagt, er malware ikke interessant, men tabte data er ret interessant. Systemsårbarheder er ikke interessante, men nedetid i faktureringssystemer eller online bookingsystemer er meget interessante. Hackerangreb er faktisk heller ikke interessante, dog er virksomhedens troværdighed særdeles interessant.
Når nu it-sikkerhed bliver forretningskritisk, og kan være med til at være en vækstfaktor – så må det kommunikeres som sådan. Dette er svaret på direktørens spørgsmål: ”hvorfor skal jeg give dette ledelsesfokus?” Din succesfaktor handler derfor ikke om at bevise din kompetence (du ville ikke have jobbet, hvis denne ikke var i orden). Din succesfaktor handler om din forretningsforståelse.
Autokommunikation er en del af problemet
Al it-sikkerhed handler om risikostyring. Det gør ledelsen af en virksomhed også. Med denne tankegang kan man konstruere god og let forståelig kommunikation, som vil gøre interaktionen med organisationens spillere mere glidende. Især for ledelsen men ikke mindst for medarbejderne.
Som William Sharp pointerer i det forudgående indlæg, bør enhver organisation investere i en awareness-strategi på baggrund af risikoanalysen, for at kunne levere tidsoptimeret information om it-sikkerhedsemner, så medarbejderne kan hjælpe med at optimere sikkerheden. Denne øvelse starter altid i it-afdelingen, men er rent faktisk (også) en kommunikationsøvelse.
Igen handler det om at gøre budskaber levende og nærværende for den hverdag, som er aktuel for medarbejderen. Øvelsen er tilsvarende ledelsesudfordringen. It-afdelingen må tilgå opgaven med kommunikationsmål for øje.
Kommunikation i it-relaterede sammenhænge må nødvendigvis være endnu mere klar og forståelig end i andre sammenhænge. Det skyldes, at emnet i sig selv, for de fleste, er komplet uforståeligt.
Derfor spiller kommunikation en kæmpe rolle for it-sikkerheden. Det hjælper ikke, at området er præget af autokommunikation – altså kommunikation, der gentages igen og igen, og derfor bliver til ”sandhed” uden nødvendigvis at være det. For eksempel er kommunikationen om it-sikkerhed i medierne næsten udelukkende gjort af trusselbilleder og mindre om holdninger. Kommunikationen i it-faglige kredse handler om nye former for beskyttelse, og mindre om hvordan man kommer igennem til ledelsen. Alle bekræfter sig selv og hinanden i de samme billeder hele tiden, mens den omkringliggende verden bringer it og it-sikkerhed tættere og tættere på.
Lig på bordet
Igennem 90’erne og 00’erne steg fokus på it-sikkerhedsproblematikker kun i takt med, at flere og flere virksomheder blev hacket og fik deres hjemmesider ”defacet”. Der skulle en lang række hændelser til, før ledelser over hele verden fik øje på problemstillingerne. Det samme sker lige nu for almindelige mennesker. Den seneste tids store hændelser om afsløringer af privatliv på nettet er med til at sætte fokus på sikkerhed, samt de menneskelige handlinger, der må til, for at komme sikkerheden nærmere. Igen ser vi, at folk først tager affære, når der sker noget forfærdeligt, som sætter fokus på problemstillingen. Der skal fortsat lig på bordet, før vi vil forstå.
Det er præcis derfor, at kommunikationen om it og it-sikkerhed er vigtigere end nogensinde.
Mit tip er at tage udgangspunkt i de forretningsmæssige konsekvenser, når det skal kommunikeres. Det vil kræve, at vi i højere grad taler om informationssikkerhed, fremfor it-sikkerhed. ”Informationer” kan alle forholde sig til. Det er sværere med ”it”. Dette åbner for spørgsmålet: hvilke informationer er vigtige, og hvilke er ikke? Og i hvilke sammenhænge er vores informationer eller data vigtige eller særligt sårbare?
Stafetten går til
Peter Colsted, adm. dir. hos Secunia.
Hvilken rolle spiller klassifikation af informationer for it-sikkerhed? Er data kontrol kun en begrænsende foranstaltning? Og hvordan kan vi arbejde med opdeling af data efter brug og enheder?
