Efter några år med huvudsakligen samordnade uppgifter på nationell nivå är jag åter konsult. Det kan ju ses som ett rättmätigt straff att försöka förverkliga en del teoretiska förslag som jag själv medverkat till. Det är en intressant upplevelse av flera skäl.
En väsentlig skillnad är att gå ifrån ett sammanhang vars hela perspektiv är säkerhet till att återigen arbeta i organisationer som har ett uppdrag som ska levereras och där säkerhet är en stödfunktion för att klara leveransen. Att det är nyttigt att växla mellan perspektiven är ett understatement.
Att umgås i huvudsak med andra som har samma roll och samma grunduppfattning om olika aspekters betydelse utgör en väsentlig risk att gruppen drabbas av just grupptänkande:
Grupptänkande (engelska: Groupthink) ett begrepp ursprungligen myntat av Irving Janis[1][2], är ett psykologiskt fenomen som kan inträffa i en grupp då medlemmarna i gruppen värdesätter konformitet och viljan att uppnå enighet högre än ett kritiskt förhållningssätt mot sina egna idéer[2]. Gruppmedlemmarna har ett starkt kritiskt förhållningsätt mot idéer som inte överensstämmer med gruppens.
Tendensen till grupptänkande finns av naturliga skäl inom det som jag vid något tillfälle hörde kallas ”communityn”, det vill säga den ganska snäva men osynliga kretsen av människor som känner sig som representanter för yrkesverksamma inom informationssäkerhetsområdet. Inget fel med gemenskap men kanske litet problematiskt i det här sammanhanget när det saknas en tydlig professionalisering (vilket jag tidigare skrivit om). Genom en lyckad professionalisering motverkas grupptänkande i en öppen och rationell diskussion – ett stadium som även informationssäkerhetsmänniskor kommer att uppnå så småningom. Om vi inte aktivt motarbetar grupptänkandet kommer vi att bli kvar i en åsiktskorridor alternativt filterbubbla som är en återvändsgränd, för att blanda metaforerna vilt.
Förutom att grupptänkande inte befrämjar nya tankar och förmågan att lösa problem är det en attityd som fjärmar de som ingår i gruppen från omvärlden – fokus ligger på intern enighet, inte på samverkan med andra utanför gruppen. Att vara gruppintrovert kan försvåra kommunikationen med andra grupper och områden trots att behovet av samarbete och samsyn är stort. Med tanke på att informationssäkerhetsarbetets roll som en stödfunktion för en fungerande informationshantering borde relationen mellan dessa områden vara mycket nära. Så är dock inte fallet idag.
När man som jag har en fot i informationssäkerhet och en i informationshantering/digitalisering är det lätt att känna sig som Francois Villon ”… illa tåld av alla”. För att raljera: i sammanhang där informationssäkerheten är huvudfrågan har det uppfattats som störigt och obekvämt när jag tagit upp de krav som ställs i ett digitaliseringsperspektiv. I e-förvaltnings- och e-hälsosammanhang är det å andra sidan inte comme-il-faut att lyfta informationssäkerhets- och integritetsaspekter – då är man en party pooper. Trots omgivningens inte alltför uppskattande attityd är jag helt övertygad om vikten att koordinera fötterna i den dans, vandring eller valfri metafor som ska leda till det digitala samhället.
Att bättre samarbete på den nationella nivån är nödvändigt i detta avseende men även i andra blir särskilt tydligt när man umgås med kommuner. Dessa i allmänhet små och resursfattiga organisationer ska digitalisera sina processer med höga krav på informationssäkerhet utan något egentligt stöd. En omöjlig uppgift samtidigt som deras uppdrag är det viktigaste för ett fungerande samhälle. Som konsult möter jag en mycket hög motivation men också en stor villrådighet – hur ska man i en kommun med 22 000 invånare klara uppgiften? Den knivigaste frågan är sannolikt hur man ska kunna skaffa sig den kompetens som krävs för att genomföra ett uthålligt arbete. För att kunna samordna sina resurser och sin kompetens lokalt måste kommunerna åtminstone få stödet att myndigheterna samordnar sina krav och initiativ nationellt. För att klara det måste grupptänkandet i olika communities bekämpas.
För att ta ett konkret exempel. När jag fortfarande arbetade på MSB bedrev jag i samverkan med Riksarkivet ett projekt som resulterade i en vägledning för processorienterad informationskartläggning . Den bakomliggande tanken vara att det finns ett antal aktiviteter som rör informationshantering där det finns ett gemensamt intresse för de som arbetar med informationssäkerhet och de som arbetar med arkivfrågor. Framför allt finns ett krav från arkivsidan om en processorienterad arkivredovisning.
Ur ett informationssäkerhetsperspektiv är det processorienterad synsättet centralt, menar jag, eftersom det är det som skapar relationen mellan verksamheten och informationen. Utan att ha kartlagt denna relation är det inte möjligt att fastställa olika informationsmängders behov av skydd – min teoretiska utgångspunkt är alltså att skyddsvärdet inte är absolut utan relationellt. En informationsmängd har inte ett essentiellt värde eller skyddsbehov utan detta skapas genom dess betydelse för den/de organisationer som använder den (detta inkluderar naturligtvis även organisationens behov av att följa lagar och andra regleringar). Informationssäkerhetens grundläggande aktiviteter som informationsklassning, risk-, kontinuitets- och incidenthantering går inte att genomföra utan ha klarlagt relationen mellan verksamhetens processer och den information och i förlängningen informationsbärare som stödjer dem.
Relationen mellan verksamhetsprocesser och information ger alltså en grund för både arkiv och informationssäkerhet men även för de digitaliseringssträvanden som pågår. De tjänster som myndigheterna tar fram beskrivs i form av processteg där information genereras och används av olika aktörer. Inget konstigt i det, processtänkandet är en bas för systemvetenskapen.
Trots dessa uppenbara samband har processorientering betraktats med viss ovilja av en del inom informationssäkerhetsområdet. Min tolkning, som kan vara fel eftersom jag inte hört tankegångarna mer utvecklade, är att man å ena sidan menar att informationens värde/skyddsbehov är essentiellt och inte kopplat till verksamheten, å andra sidan att man tycker det är krångligt att genomföra processkartläggningar. I den första delen skulle jag tycka det vore mycket intressant med diskussion; vilka alternativa sätt finns det att bedöma informationens värde/skyddsbehov?
Vad det gäller hur krångligt det är med processkartläggningar i förhållande till vad det ger förnyar jag nu mina tidigare erfarenheter och kan bara säga att det är ett fantastiskt hjälpmedel både för att identifiera informationsmängder och för att se dess betydelse och värde. Vad som kanske är ännu viktigare är den gemensamma förståelse för behovet av informationssäkerhet som uppstår vid kartläggningen. Och – för att understryka samordningens betydelse – processkartläggning ger inte stöd bara för informationssäkerhet utan också för digitalisering. Att beskriva sin verksamhet i processer är också något som faller sig naturligt för de representanter för kommuner, myndigheter och företag som jag möter. För lärare är en rimlig leverans att avge ett korrekt och rättsäkert betyg, att då kartlägga processen som leder fram till betyget uppfattas som en meningsfull uppgift för att bara ta ett praktiskt exempel. När detta är gjort går det att ställa krav inte bara på informationssäkerhet utan även på fungerande digitala lösningar.
Jag tror vi måste hitta fler verktyg av den här typen där flera yrkesgrupper samverkar och sammanför sin kompetens. En sliten klyscha är att man ska möta människor där de är. Det borde gälla även för till exempel kommuner. För att möta kommunerna där de är så måste vi lämna våra gruppinterna förhållningssätt och hitta fram till det de faktiskt kan anamma och ge stöd för det. Processorienterad kartläggning är ett exempel men det finns antal andra aktiviteter som skulle kunna plockas ihop i lämpliga standardiserade paket. Det motverkar grupptänkande och det ger grunden för det samordnade stöd som behövs.