Varför lyssnar inte ledningen på mig?
Vad ska det första blogginlägget handla om? Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet egentligen är till hur man genomför en bra riskanalys i praktiken. Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för att informationssäkerhetsarbetet ska lyckas. Ledningens engagemang ni vet…
Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar). Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt. Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger. Ibland lyckas den informationssäkerhetsansvarige faktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet. I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt. Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.
Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart. Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.
För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan. Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva. Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar? Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.
Själv har jag träffat många ledningsgrupper både som anställd och som konsult. Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här:
Funkar inte:
- Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
- Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställt den informationssäkerhetsansvarige för att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
- Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
- Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
- Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
- Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.
Funkar:
- Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
- Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör. Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
- Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
- Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
- Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
- Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.
Detta var några tankar kring ledningens engagemang. Bidra gärna med dina egna!