Informationssäkerhetens Mary Poppins

Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna. Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg. Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till. För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt. Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult. Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.

Marknaden för informationssäkerhetskonsulter har som sagt växt. Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet. Men flera faktorer försvårar redan i upphandlingsskedet.  En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens? När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens. Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.

Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras. Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen. Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras. Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer. Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist. Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.  Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.

 


När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.  I ett antal upphandlingar och även anställningsförfarande har  varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser. Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito. Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år? Under senare år har det dykt upp krav på att konsulter ska vara certifierade. Detta menar jag är ett attraktivt villospår. De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning. Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.

Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget. Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter. Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara. En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud. Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.

Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar. Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer? Är det priset, kvaliteten eller tiden som är viktigast? För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.

Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster. Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande. För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad. Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre). Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget. Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.  Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.  För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.

Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut. Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop. Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen. Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget. Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.

Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens. Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera. Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär. Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit. Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten. Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger. Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har. Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation. Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.

Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt. Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget. Inte så sällan tackar jag nej till uppdrag. Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.

Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar. En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen. Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning). Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar. Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.

För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet. Det är ofta svårt frestande att ta över alltmer av informationssäkerhetsarbetet, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande. Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare. För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas. Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.

Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster. En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.  Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.

Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens. Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram. Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation. En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.