Peters princip upp-och-ner

Den kanadensiska utbildaren och "hierarkiologen" (avundsvärd titel) Laurence J. Peter lanserade för ett ganska stort antal år sedan sin princip: Peters princip. Hans nedslående teori var:

"In a hierarchy every employee tends to rise to his level of incompetence... [I]n time every post tends to be occupied by an employee who is incompetent to carry out its duties... Work is accomplished by those employees who have not yet reached their level of incompetence."

Varje organisation efter sin egen dysfunktionalitet enligt denna princip och det är väl inte utan att man kan känna igen tendensen. Att Peter inte var en forskare utan snarare en man som tjänade sina pengar på tveksamma utbildningar i att tala offentligt m.m. framgår i det senaste avsnittet av en mina favoritpoddar Behind the Bastards. Det har dock inte hindrat återkommande referenser till principen även i akademiska sammanhang.

Redan innan ovanstående poddavsnitt sändes har jag funderat en hel del på Peters princip men då som en rörelse mot inkompetens i motsatt riktning inom till exempel informationssäkerhet och säkerhetsskydd. Om jag vore mer pretentiöst lagd skulle jag nu utnämna den till "Ewalds princip". Den innebär att svåra frågor trycks nedåt både nationellt och inom organisationer till nivåer där det saknas kompetens för att hantera dem på ett tillräckligt bra sätt.

Som utgångspunkt för min teori är erfarenheten att det knappast är särskilt svårt att prata om säkerhet i generella och låt oss kalla det strategiska termer. Om vi tar en så grundläggande akvititeter som informationsklassning och riskanalys så krävs det inte så mycket kompetens för att säga att det är viktigt att genomföra aktiviteterna. I förlängningen ser jag det som en tämligen given AI-uppgift att ta fram styrande dokument för bland annat när aktiviteterna ska utföras och vem som har ansvar som kan tillämpas med smärre modifikationer i flertalet organisationer. Inte heller kräver det någon betydande kompetens för att utveckla hyfsat habila metoder för att genomföra aktiviteterna. Litet begåvat knyckande kan man komma långt med.

Vad som däremot kräver kompetens och en stor erfarenhet är att genomföra aktiviteterna så att de resulterar i konkreta säkerhetshöjande åtgärder som är lämpliga utifrån de faktiska riskerna.

Om man accepterar ovanstående premisser så är dagens hantering av frågorna dysfunktionell. Centrala myndigheter som MSB som har resurser att bygga upp en reell kompetens som skulle kunna ge stöd till andra organisationer som inte har säkerhet som kärnverksamhet verkar endast genom strategi och metodstöd. SKR som skulle kunna ge mycket konkreta vägledningar för säkerhetsåtgärder till sina medlemsorganisationer promotar istället KLASSA - ett verktyg som slukar tid för organsiationer och som bara levererar åtgärder i form av omskriva krav från ISO-standarden. Och när det gäller säkerhetsskydd förväntas varje organisation själv göra sin säkerhetsskyddsanalys med ofta undermåligt resultat (ska återkomma med en artikel i augusti om detta). Både myndigheter och SKR utgör på många sätt snarare en belastning än ett stöd för organisationerna vilket jag också skrivit om bland annat här.  Sammantaget har man från centralt håll delegerat de verkligt svåra frågorna till nivåer där kompetens av goda skäl saknas eller är bristfällig.

På samma sätt finns ofta en liknade arbetsfördelning internt i många organisationer. Kanske litet av en nidbild men jag tycker mig att alltför ofta sett innehavaren av den flotta titeln CISO skygga för det praktiska säkerhetsarbetet och hellre skicka ut dokument och metoder i en organisation som helt saknar förutsättningar för att genomföra exempelvis en informationsklassning. Detta även om det utgått order om att varje verksamhet ska utse en informationssäkerhetssamordnare (arma människa). Även om man tvingar på ansvar så innebär det inte att man blir kompetent.

Orsakerna till varför man flyr in i de "strategiska" frågorna är inte så svåra att förstå. Det är mycket behagligare att röra sig på ett teoretiskt plan än ett praktiskt om man är osäker. Och osäker är man - informationssäkerhet är ett svårt område och många som får ansvar saknar tidigare erfarenhet. Själv känner jag mig mer osäker för varje år som går och är väl medveten om att det är just i det praktiska genomförandet som bristerna i ens insats kommer att bli uppenbara.

En annan orsak är att det den bristande erfarenheten hos de som anser sig arbeta med strategiska frågor gör att de faktiskt inte förstår hur svårt det är att lösa frågor i praktiken. Den insikten slog mig när jag på mindre än en månad fick tre reaktioner angående MSB:s så kallade rådgivningsstjänst. Två personer från helt olika organisationer sa sig ha blivit bemötta av någon som de uppfattade vara i tjugoårsåldern på ett call center respektive någon som högläste ur metodstödet. En tredje person som sökt stöd uppgav att hen fått rena goddag-yxskaft-svar. Jag blev nyfiken förstås, tre personer är ju inte representativa för helheten men jag ställde ändå en fråga till MSB:

Hej!
Jag har under senare tid från olika håll fått höra att MSB:s rådgivningstjänst angående informationssäkerhet https://www.msb.se/sv/verktyg--tjanster/radgivningstjanst-for-systematiskt-informationssakerhetsarbete/tycks bedrivas från ett call center där svar ges genom högläsning ur exempelvis metodstödet. Detta är ju mycket långt från den kvalificerade rådgivning och möjlighet till bollplank som utlovas. Därför undrar jag om detta verkligen kan stämma.

Observera att texten på MSB:s webbplats ändrats sedan jag ställde frågan så nu finns inte kvalificerad rådgivning och bollplank inte längre kvar. Jag fick ett vänligt svat på min fråga:

Hej Fia,
Tack för ditt ärende gällande MSB:s rådgivningstjänst för systematiskt informationssäkerhetsarbete.
Att tjänsten skulle bedrivas från ett callcenter som ger svar genom högläsning stämmer inte, men jag tolkar det du hört som att de användare du pratat med inte är nöjda med kvaliteten på tjänsten. Detta tar vi naturligtvis till oss i vårt förbättringsarbete.
Tjänsten fungerar som så att användarna fyller i ett webbformulär och väljer hur de vill bli kontaktade. De inkommande ärendena hanteras sedan av två juniora, högutbildade informationssäkerhetsspecialister. De har stöd av en andra linje i form av en mer erfaren informationssäkerhetsspecialist och alla frågor av mer komplicerad karaktär tas vidare till handläggare med rätt kompetens inom MSB.
Tjänsten startade för knappt ett år sedan och utvärderas just nu. Vi gör bland annat en kvalitetsbedömning av hanterade ärenden och har gått ut med en användarenkät. Vi tar tacksamt emot all feedback vi kan få för att förbättra tjänsten och därför vore det bra om de användare du talat med vänder sig direkt till oss. På så sätt får vi reda på vilken typ av frågor det handlar om och förbättringsarbetet blir mer handfast och konkret.
I utvärderingen av tjänsten kommer sannolikt diskrepansen mellan användarnas förväntningar och den tjänst vi erbjuder att framkomma. Detta är något vi varit medvetna om från start. Det innebär att vi kommer att behöva utveckla både de svar vi ger och hur vi beskriver tjänsten. Vi har redan vidtagit åtgärder kring hur vi kommunicerar kring tjänsten bland annat genom att publicera en informationssida med djupare information; https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/radgivningstjanst-for-systematiskt-informationssakerhetsarbete/
Hoppas att detta besvarar din fråga. Om inte är du välkommen att höra av dig igen.

Det är ju bra att man utvärderar det hela men jag inte låta bli fundera på idéen att sätta två juniora, om än högutbildade, informationssäkerhetsspecialister på den kanske svåraste uppgiften, det vill säga att svara på hur man ska göra i praktiken. Att tro att någon utan erfarenhet ska kunna komma med bra svar på vad som ska göras i en mycket komplicerad organisation som t.ex. i en kommun är orättvist mot både den som frågar och den som svarar. Det tyder också på en slags nedvärdering av det praktiska genomförande trots dess mycket höga svårighetsgrad.

Jag tror vi måste börja diskutera kompetensfrågorna inom säkerhetsområdet på ett mer djuplodande sätt än att bara prata om utbildning. Vi måste identifiera olika typer av kompetens, var kompetensen ska finnas och hur vi på bästa sätt ska använda den bristvara som komeptensen är. För mig är det ganska tydligt att vi måste utarbeta praktiska lösningar på central nivå som kan återanvändas i enskilda organisationer som aldrig kommer att kunna upparbeta tillräcklig egen kunskap inom området. Då räcker det inte med strategier och organisatoriska metoder utan vi måste samla kompetens om konkreta säkerhetsåtgärder. Det förutsätter en överblick där centrala myndigheter och centrala funktioner i verksamheter får en realistisk bild av vilken konkretion som behövs för att säkerhetshöjande åtgärder verkligen ska kunna vidtas. Och att det praktiska säkerhetsarbetet uppvärderas, möjligen på strategisurrets och seminariepratets bekostnad. Vi behöver helt enkelt respektera hantverket.