Ganska ofta uppfattar jag informationssäkerhetsarbetet som alltför introvert och navelskådande. Då tänker jag inte främst på alla dessa säkerhetskonferenser för redan frälsta utan på det vardagliga arbetet i verksamheten. Länge, länge har jag mässat om hur bra det är att förena arbetet med informationshantering, dataskydd och informationssäkerhet för att ge verksamheten ett sammanhållet stöd. Bra för verksamheten men också bra för informationssäkerheten som ökar sina chanser att integreras i verksamhetens normala aktiviteter. Ändå lever informationssäkerhetsarbetet i många organisationer fortfarande sitt ensliga liv med ryggen vänd mot verksamheten. Min icke-evidensbaserade bild är att informationssäkerhetsansvariga alltför ofta undviker dialoger där man måste förtydliga och förklara sina metoder, berätta hur man gör sina bedömningar och lyssna in vad som är viktigt för verksamheten. Hellre gå på vad som presenteras som "regler" (ja, jag raljerar orättvist nu).

Ett bättre sätt att sälja in säkerhet i organisationen är att visa att det finns metoder inom området som kan användas på ett mer generellt sätt. Jag kom att tänka på det i samband med ett större omorganisationsarbete. Min erfarenhet är att trots att omorganisationer är ett så vanligt sätt att mota ledan eller ge möjlighet för nya imperiebyggen så verkar dessa ske påfallande metodlöst. När jag jämför tre fall av ganska likartade större omorganisationer har man haft mycket olika förhållningssätt och egentligen arbetat utan gemensam vägledning.

När jag funderade över detta och vilka onödiga kostnader och irritationsmoment detta sannolikt föranleder så började jag laborera med tanken på att se omorganisationer som en kontinuitetshantering. Även om det är roligt och kanske värdefullt att omorganisera så är det otvetydigt en störning för verksamheten. Tänk om man då skulle göra som i kontinuitetshantering som t.ex.:

  • göra riskanalyser och informationsklassningar för påverkad verksamhet innan det blir skarpt läge
  • göra riskanalys för själva omorganisationen innan det blir skarpt läge (här skulle jag vilja lägga in att det är nödvändigt med en beslutspunkt om omorganisationen verkligen är lämplig men det kommer att hörsammas av ytterst få)
  • processkartlägga med tydlig definition av verksamhetens mål
  • tydliggöra ansvar och roller i olika lägen av omorganisationen
  • identifiera vilken del av verksamheten som är kritisk ur olika synpunkter, inte minst tidskritisk
  • kartlägga vilken information som används och hur
  • kartlägga vilka resurser som krävs för att upprätthålla verksamheten förutom information
  • planera för hur verksamheten ska kunna upprätthållas i den situationen
  • TESTA i god tid att alla nödvändiga funktioner verkligen fungerar på avsett sätt, inte minst tillgång till information och it-lösningar
  • Utvärdera test innan genomförandet av omorganisationen
  • Vara beredd på att planera om utfallet av testen inte är bra

Min slutsats är att det finns en hel del att vinna i att betrakta omorganisationer som störningar och att vi som arbetar med kontinuitet har en del att bidra med vad det gäller metodik. Som alltid när det gäller metoder förutsätter det en hög grad av öppenhet hos alla inblandade parter när det gäller tillämpningen. I bästa fall kan säkerhetsarbetet blir synligare och till och med få en air av att inte bara vara till besvär utan något som faktiskt gagnar verksamheten.

För den som vill lyssna på ett poddavsnitt om myndigheters omorganisationer finns det här.