Varför funkar det inte? Del 5
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för det informationssäkerhetsarbete som bedrivs. Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt. Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort. Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Behovet av en profession
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister. Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken. Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid. Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd. Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt. Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg. För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik. En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Krav på en profession
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat. Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens Unique Selling Proposition eller Unique Selling Point (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP. Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande:
Definition av kunskapsområde
En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen. Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om. Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas. Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta. Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen. Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities. En ganska självklar del i detta är en formaliserad utbildning vilket idag saknas inom informationssäkerhetsområdet. De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet. Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit. För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
Normer och kultur
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till. Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet. Det innebär också en kollegial kontroll över de attribut som yrkestitel som följer med professionen. Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet. Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva. En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process. Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt. Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren? Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet? Frågorna är många men än saknas forat att diskutera dem i.