Datasikkerhet:

«Roter du det til her er du ferdig. Punktum.»

Aida Omerovic
Med den enorme digitaliseringen de siste tiårene er «datasikkerhet» flyttet ut av skuffen «Betale skatt, bytte passord og andre ting vi gjør fordi vi må» til skuffen merket «Roter vi det til her, er vi ferdig. Punktum.»

av | 4. april 2018 @ 08:23

Du skal ikke gå på kurs hos Aida Omerovic bare fordi hun gjør risikostyring og IT-arkitektur morsomt, spennende og engasjerende. Nei, du skal gjøre det for sikkerhets skyld. For jobben din sin skyld. For samfunnet, virksomheten og pensjonen din sin skyld.

«En gang var risikoanalyse for pingler og backup var feigt»

En gang var risikoanalyse for pingler og backup var feigt. I dag vet alle, inkludert administrerende direktør, at slendrian med sikkerhet med høy grad av sikkerhet øker risikoen for at du mister jobben. Eller hele butikken.

Bytte av skuff

«Risikoanalyse», «risikostyring»,  «sikkerhetsarkitektur» og «sikkerhetskultur» er vel fremdeles ikke ord som får hjertet til å hoppe over et slag, blodet til å bruse og nakkehårene til å reise seg hos folk flest. Men med den enorme digitaliseringen vi har gjennomgått de siste tiårene, er ordene likevel flyttet ut av skuffen «Betale skatt, bytte passord og andre ting vi gjør fordi vi må» til skuffen merket «Roter vi det til her, er vi ferdig. Punktum.»

Er det så farlig da?

Ja, det er visst det. Selv en evig optimist må etter hvert erkjenne at ubehaget dersom noen bruker passordet ditt på den ene nettjenesten til å logge seg inn på de ca 100 andre som har samme passord er større enn ubehaget ved å ta en opprydning i passordene.

Men det ubehaget er ingenting mot det sjefene i butikkjeden Saks opplever akkurat nå etter at det er blitt kjent at kredittkortinformasjon fra fem millioner av deres kunder er lagt ut til salgs på «The Dark Web».

Det er heller ingenting mot følelsen sikkerhetsansvarlig i MyFitnesspal hadde da de nylig oppdaget at personlige data om 150 millioner brukere er stjålet.

Vår kunnskap om voksende sårbarhet som følge av voksende digitalisering er ikke av ny dato. Allerede i 1986 leverte et statlig utvalg en NOU-rapport med tittelen «Datateknikk og samfunnets sårbarhet» (NOU 1986:12). Siden har det vært et gjentakende tema i beredskapsdebatten. I 2007 fikk vi demonstrert denne sårbarheten i en skala aldri tidligere (og foreløpig ikke senere) sett. Et koordinert såkalt botnet-angrep brakte verdens mest digitaliserte land, Estland, på knærne. Regjeringen, parlamentet, bankvesenet, media og mye mer ble rammet. Årsaken antas å være hevn fordi man et par dager tidligere hadde fjernet en statue fra Sovjet-tiden.

[bctt tweet=”Datasikkerhet fra betale skatt, bytte passord og andre ting vi gjør fordi vi må til roter vi det til her, er vi ferdig punktum.” username=”paal”]

Lavere terskel enn du tror

Hva kan vi gjøre da? Det er jo så tungvint, kjedelig og deprimerende å måtte bruke tid på å unngå at noe som kanskje kommer til å skje, skjer.

—  Terskelen for å komme i gang er mye lavere enn man tror, sier Aida Omerovic. —  Sikkerhets- og risikofaget er under sterk utvikling. Det jobbes med å gjøre det mer dynamisk gjennom løpende vurdering av risikoendringer og overvåking og oppdagelse av sårbarheter. Det jobbes også med nye spennende måter å presentere sikkerhet på. Bare for å nevne noen eksempler.

Aida er seniorforsker ved SINTEF Digital. Hun har en doktorgrad fra UiO som handler om å predikere kvalitet av IT-arkitektur, og ser at kvalitet, risiko, sikkerhet og trygghet henger tett sammen.

—  Kvalitet og sikkerhet henger sammen, og i mitt doktorgradsarbeid utviklet jeg en metode for å forutse hvordan endringer i arkitekturen vil påvirke kvalitet og sikkerhet, forklarer hun.

Hennes erfaringer fra doktorgradsarbeidet og yrkeskarrieren har hun systematisert og strukturert, og de siste tre årene har hun formidlet det videre til stadig fulltegnede kurs i regi av Dataforeningen.

—  Hvorfor er dette viktig?

—  IT er etterhvert ryggmargen i verdiene bedrifter og samfunnet forvalter og utvikler. Det er der de største verdiene og interessene ligger. Derfor må flere aktører både i bedriftene og de som er relatert til dem bidra til å ivareta sikkerheten fra sine ståsted. Informasjonssikkerhet blir sårbarhet og trygghet. Det kan ikke og skal ikke isoleres fra ledelse og IT. Tvert imot, styring, kultur og IT-arkitektur er blant de viktigste verktøykassene for å oppnå ønsket informasjonssikkerhet.

—  Hvordan er bevisstheten omkring sikkerhet i dag?

«Vi må sørge for at sikkerheten svarer til viktigheten og verdien av de digitale ressursene»

—  Mye tyder på at den øker. Risikoakseptanse vil jo alltid variere med hva som står på spill, og stadig mer står på spill. Digitalisering fører  til økt avhengighet av IT. Kritiske infrastrukturer, tjenester og bedrifter henger i dag tettere sammen, ikke bare i Norge, men også på tvers av landegrensene. Nye spennende teknologier tas i bruk. Kompleksiteten og dynamikken øker. Digitaliseringen gir et enormt potensiale for gevinstrealisering i ulike næringer, blant annet offentlig sektor, helse, velferd, undervisning, bank, transport og energi,  bare for å nevne noen. Vi må sørge for at sikkerheten svarer til viktigheten og verdien av de digitale ressursene. Det går i riktig retning.

På vei inn i styrerommet

«Sikkerhetskultur tar stadig større plass i bedriftene og i samfunnet»

—  Sikkerhet er på vei inn i styrerommet. Risikostyring integreres med virksomhetsstyringen. Kravspesifikasjoner ivaretar sikkerhet på helt nye måter. IT-arkitekturer fokuserer på sikkerhetsmål og virkemidler fra dag én. Sikkerhetskultur tar stadig større plass i bedriftene og i samfunnet. Slik skal det være. Bevisstheten omkring sikkerhet hos de ulike aktørene gjør alle tryggere og bidrar til tillit til de digitale tjenestene. Da blir det lettere å hente ut gevinster, utnytte morgendagens teknologier og skape innovasjoner.

—  Er det mange som undervurderer sikkerhet?

—  Det kommer an på. De som skal sikre verdiene er alltid folk. For noen er sikkerhet en verdi og en muliggjører, for andre kan det være en kostnad og en byrde. Risiko skal ikke nødvendigvis minimeres. Man snakker gjerne om risikoapetitt eller akseptansenivå til de som «eier» risikoene. Litt subjektivt blir det jo, og det gjelder å finne den rette balansegangen.

—  Det finnes effektive teknikker som hjelper beslutningstakere å bli bevisst og uttrykke sin vilje og evne til å ta risiko. Så skal noen risikoer aksepteres, noen forebygges og andre håndteres på hensiktemessige måter. Spillerommet ligger gjerne innen tre områder: teknologi, folk og prosesser. Så skal man foreta kost-nytte vurderinger for å ta gode, informerte beslutninger. Kan du prinsippene, så blir slikt fort naturlig og enkelt å gjøre i hverdagen.

«De tradisjonelle metodene og verktøyene for risikostyring og arkitektur er ofte for tunge og ikke tilpasset den virkeligheten vi lever i»

—  En annen utfordring er såkalt uvisshet, spesielt mangelen på kunnskap om hvordan systemene henger sammen, hva som kan gå galt og hvordan de digitale verdiene kan sikres. De tradisjonelle metodene og verktøyene for risikostyring og arkitektur er ofte for tunge og ikke tilpasset den virkeligheten vi lever i. De forutsetter at man har betydelige ressurser, mye tid og detaljert kunnskap.

—  De forutsetter også inngående kjennskap til rammeverkene, noe som gjør det vanskelig å involvere tverrfaglige grupper. Det blir for tungvint og kunstig. Dynamikken og kostnadseffektiviteten av prosessene uteblir. Risikobilde og arkitektur skal være lett å forstå, evaluere, planlegge og kommunisere – såvel på virksomhetsnivå som på IT-nivå. Det skal kunne skje raskt og ikke kreve for mye tid eller andre ressurser. Først da kan vi ivareta sikkerhet på en god måte.

—  Pragmatiske valg av metoder, verktøy og virkemidler er nøkkelen. Forenkling og nytenkning er nødvendig. Mesteparten av min forskning har dreid seg om å bygge broene mellom state-of-the-art og virkelighet innen dette fagfeltet.

—  Hva slags type deltakere skulle du gjerne sett flere av på kursene dine?

—  Beslutningstakere. De som eier risikoen. Jeg har hatt mange slike der, men ikke nok. En ting er å kunne gjøre en god faglig jobb, en annen ting er å ta beslutningene om hva som skal bekostes av tiltak og hvilken risikoholdning man kan akseptere.

Rune Bjerke på sikkerhetskurs?

—  Toppledere?

—  Ja, de også. Når topplederen leder en virksomhet hvor digitale verdier er kjernen i virksomheten er det han eller hun som eier risikoen og skal påse at rammeverkene brukes aktivt i hverdagen som hjelpemiddel i beslutningsstøtte.

—  Så om DNBs toppleder Rune Bjerke kom hit hva ville vært annerledes etter kurset?

—  Han ville fått et praktisk lavterskel hjelpemiddel som er enkelt å komme i gang med, og som kan gi bedre beslutninger ikke bare fra ham, men alle involverte. De ville fått en verktøykasse med begreper hvor alle snakker samme språk, en standard måte å komme frem til og dokumentere resultater på, og ikke minst en omforent måte å formidle dem.

—  Når folk snakker om risikostyring på tvers av domener og virksomheter vil jeg at de skal snakke samme språk, bruke de samme ordene på ting som er de samme.

—  Jeg har basert meg på erfaring og kunnskap og prøvd å hente ut essensen av det som fungerer i praksis. Resultatet er en kombinasjon av metoder og verktøy som man vet fungerer, men som ikke hører til én enkelt metode eller leverandør. Det har jeg gjort bevisst. Det er bare en ting jeg aldri fraviker: det skal være overensstemmende med ISO-standardene for sikkerhet og risikostyring.

Aidas risikable valg

—  Hvordan brukere dere dette i SINTEF?

—  Vel, vi er forskere, vi jobber med anvendt forskning som er forankret i reelle behov. Det betyr at vi bruker flere verktøykasser, ikke bare de jeg underviser i. Vi tar gjerne utgangspunkt i det som er state of the art og innoverer videre sammen med norsk og europeisk næringsliv og akademia. Resultatene evalueres også systematisk. Det er utrolig givende å være med å skape innovasjoner og se resultatene komme til nytte i store og små bedrifter, såvel private som offentlige. Vårt miljø ved SINTEF er internasjonalt anerkjent innen dette fagområdet. Vi deltar med sentrale roller i en rekke store EU prosjekter, spesielt de med vekt på forskningsbasert innovasjon innen sikkerhet og risikostyring. Det å fokusere på reelle  problemstillinger i ulike sektorer, gjør forskningen både relevant og mer utfordrende.

—  Hvorfor brenner du for dette temaet?

—  Jeg syns det er et ekte behov for dette. Folk ser ikke alle mulighetene som ligger der.

—  Er du selv risikoavers?

—  Jeg er kanskje av og til mer metodisk enn det er behov for, men er egentlig til kvinne å være ikke særlig redd for risiko. Samtidig ser jeg også at det er mange nyttige hjelpemidler i faget mitt som kan gjøre meg mer effektiv i hverdagen.

—  Hva er den største risikoen du har tatt?

—  Å bestemme meg for å studere til sivilingeniør innen teknisk kybernetikk. Jeg ante ikke hva jeg gikk til, men lot meg friste av informasjonen som var tilgjengelig der og da gjennom rollemodeller og brosjyrer.

Lær mer om kursene

Aida holder tre kurs innenfor dette området for Den Norske Dataforening. Kursene er svært interaktive med vekt på hands-on relevante oppgaver og diskusjoner. Det øker læringseffekten betydelig.

  1. Kom i gang med risikoanalyse: For deg som jobber med virksomhetsstyring, arkitekturdesign, utvikling av tjenester, drift, sikkerhet, rådgiving, kravhåndtering eller testing. Her lærer du å utføre en risikoanalyse med praktiske eksempler og øvelser.
  2. Praktisk risikostyring: For den litt viderekomne, gjerne de som har tatt det første kurset over, men andre forkunnskaper kvalifiserer også. Spørsmålet du får svar på her er hvordan risikostyring utføres på en hensiktsmessig måte og hvordan ledelsen kan utnytte resultatene av arbeidet. Ofte kan små og enkle tricks ha stor effekt. Noen av dem kan du lære av Aida.
  3. Sikkerhetsarkitektur og kultur: For eksperter som jobber med sikkerhet i det daglige. Aida tar deltakerne med på et dypdykk i de konkrete tekniske valgmulighetene som ivaretar sikkerhet ved arbeid med arkitektur, sikkerhetsledelse, krav, utvikling og drift. Kurset gir også innsikt i hvordan du best bygger en sikkerhetskultur effektivt bygges opp og bidrar til sikkerhet.

Sjekk Dataforeningens IT-kalender for mer om når og hvor du kan delta på disse kursene.

Aida Omerovic

Aida ble født i Sarajevo mens Sarajevo ennå var en del av Jugoslavia. Hun kom til Norge som tenåring fra samme by, men nå i et annet land: Bosnia. Familien flyttet til Trondheim, og byen gjorde altså en teknisk kybernetiker av den unge kvinnen. Da hun skulle ta sin doktorgrad flyttet hun til Oslo, og der har hun blitt, i dag som seniorforsker ved SINTEF Digital.

Artikkelen er skrevet for Den norske Dataforening, og originalt publisert på deres nettsider. 

Paal Leveraas
Følg Paal
Artikler av Paal Leveraas (alle)

0 kommentarer

Legg inn en kommentar

De siste artiklene

Ukebrevet

Bli en tilter

Noen av våre forfattere

682 posts
Paal Leveraas er sjefreflektør og -redaktør i tilt.work og gründer av blant annet tilt work AS, digi.no og Leveraas AS. Ta kontakt med Paal enten du trenger et foredrag, en sparringpartner i ditt lederskap eller en som kan hjelpe deg å få budskapet ut i verden. Eller alt over.
View Posts →
55 posts
Hedvig Rognerud er forretningsutvikler, ledercoach, prosessleder og foredragsholder i Fossekall AS på Lillehammer. Hedvig skriver om språk som lederverktøy for tilt.work.
View Posts →
32 posts
Atle skriver om coaching og kommunikasjon.
View Posts →
25 posts
Bjørn Z. Ekelund er psykolog. Han står bak "Diversity Icebreaker". Han skriver jevnlig for tilt.work, og er en del av ekspertpanelet.
View Posts →
18 posts
Herman Berg er redaksjonssjef i tilt work AS.
View Posts →
14 posts
Tom Georg Olsen skriver jevnlig om ledelse med fokus på tillitsbasert ledelse. Han er konserntjener i Miles, og sitter også i styret i tilt work AS.
View Posts →
13 posts
Thomas Nygaard er daglig leder i tilt work AS. Han er mangeårig leder i forlagsbransjen, hvor han to ganger har eliminert sin egen jobb. Han er blitt ekspert på å omstrukturere virksomheter på en måte som ivaretar verdiene.
View Posts →
12 posts
Hans Jacob Christensen har lang fartstid i norsk og internasjonal HR. Her i tilt.work vil han utforske kjernen i HR, utfordre noen etablerte sannheter i faget og gjerne skape debatt.
View Posts →
11 posts
Walaa Abuelmagd skriver om mangfold i tilt.work.
View Posts →
7 posts
Jan-Erik Sandberg skriver om hvordan vi kan gjøre mangfold i arbeidslivet til et aktivum. Han lever hva han lærer som "ikke helt A4 selv".
View Posts →
7 posts
Gerd Jorunns misjon som skribent i tilt.work og Tirsdag morgen har vært å avlive myter om ledelse.
View Posts →
7 posts
Mai-Britt jobber med rekruttering i en internasjonal organisasjon. Hun skriver om rekruttering og ledelse i tilt.work.
View Posts →
5 posts
Rune skriver om medarbeiderskap.
View Posts →
5 posts
Elin Ulset er en engasjert og nær leder som er levende opptatt av kommunikasjon, ledelse og adferd. Elin har vokst opp i HR-kommunikasjon, både fra Aftenposten, digitale medier og mediebyrå. Hun balanserer det faglige med lederskap, og lederskap med familie, og hun trives godt i alle sfærene.
View Posts →
5 posts
Catherine Lemaréchal eier og driver Ticato AS. Hun er rådgiver og NLP-coach og skriver om kommunikasjon, merkevarebygging og tidsmestring. Catherine kan hjelpe deg å oppnå mer enn du tror du kan. Hun holder kurs og foredrag, og mest populært nå for tiden er kurset: Gi f*** for flinke piker.
View Posts →
5 posts
Ph.d. og professor II Glenn Hole er direktør i IT-selskapet Skill. Han skriver om mangfold i arbeidslivet.
View Posts →
4 posts
Annar er en nestor i norsk lederutvikling med mer enn 30 års fartstid.
View Posts →
4 posts
Eva Jarbekk er en av våre fremste juridiske eksperter på personvern og GDPR.
View Posts →
3 posts
Esben Keim driver rådgivingsselskapene Vital Few og OSS. Han skriver om presterende team, resultatledelse/OKR, mangfold og kundefokus her på tilt.work.
View Posts →
3 posts
Jeanette Høie er desksjef i tilt.work. Hun har lang fartstid som journalist og vaktsjef i dagspressen. Hun har godt grep om ulike digitale fortellerteknikker. I tillegg er hun gründer-in-spe.
View Posts →
3 posts
Arne Jensen er generalsekretær i Norsk redaktørforening.
View Posts →
2 posts
Isabelle er senterleder for kraftsentret Forandringhuset. Hun er mentor og utviklingsansvarlig for ungdommer i Oslo.
View Posts →
2 posts
Sissel Naustdal leder MadeToGrow og er brennende engasjert i utvikling av menneskers potensial
View Posts →
2 posts
Anne 🌱 Reknes hjelper mennesker med å finne, få eller skape sin drømmejobb, og deler tips, tricks, teknikker, verktøy og metoder her i tilt.work.
View Posts →
2 posts
Christine er kursutvikler og foredragsholder med et stort lærerhjerte og masse kjærlighet til god tekst. Hun driver firmaet Tekstdoktor og underviser i digital markedsføring og journalistikk på Høyskolen Kristiania.
View Posts →
2 posts
Stikkordet for Cathrines arbeid med lederutvikling er "praktisk hverdagsledelse".
View Posts →
2 posts
Ole Kristian Sivertsen er CEO i selskapet Desert Control. Han har lang fartstid fra selskap som Citrix, RES Software, Sun Microsystems, Telenor, EVRY og Global Eagle. I dag har han dedikert seg til teknologi som løser klimautfordringer.
View Posts →
2 posts
Jostein Borgmo er til daglig eier og kreativ direktør i Suburbia og har dessuten nesten 80.000 følgere på Instagram.
View Posts →
1 posts
Herminia Ibarra er professor ved London Business School og forfatter av fagbøker om ledelse og organisasjonsutvikling.
View Posts →
1 posts
Umid skriver om tjenende lederskap og selvledelse.
View Posts →
1 posts
Nils Petter Nordskar er tidligere reklamemann. I dag holder han kurs, foredrag og utgir dessuten nyhetsbrevet "Lykkes med ideer".
View Posts →
1 posts
Paal Leveraas startet Tirsdag morgen i 2010 og jobber sammen med en rekke dyktige partnere for å videreføre dette til tilt.work i 2020.
View Posts →
1 posts
Ingar Roggen er sosiolog og beskrives som en av de europeiske pionerene for sosial informatikk. Arbeidsfeltet omfatter blant annet det sosiale aspektet av det virtuelle rommet, sosial analyse av internett og samspillet mellom menneske og datamaskin. I 1996 introduserte han sosiologien på nettet, websosiologi, som en nettvitenskap.
View Posts →
1 posts
Håkon er opptatt av personlig utvikling, drivkraft og glede. Han er sertifisert NLP Master Practitioner, og skriver og tilbyr tjenester for personlig vekst.
View Posts →
1 posts
Jørgen Lund jobber med endringsledelse gjennom eget selskap.
View Posts →
1 posts
Jan Sollid Storehaug er digital strategirådgiver. Han er også en mye brukt foredragsholder.
View Posts →
1 posts
Ola hjelper virksomheter å jobbe med temaer rundt helse, kulturbygging og spons og tilbyr også underholdende, bevisstgjørende og motiverende foredrag/webinar.
View Posts →
1 posts
Bjørn O- Hopland er eier og daglig leder av Smart Endring AS.
View Posts →
1 posts
Eli jobber i Fossekall AS. Hun har siden 2001 også drevet eget idé- og kommunikasjonsbyrå. Hun brenner for vekst og utvikling i bedrifter, og ser raskt muligheter og det unike. Hun veileder bedrifter i strategiprosesser, fremtidens bærekraftige forretningsmodeller, produkt/ markedsoptimalisering, forbedrer verdiløfter, bedriftskultur og innovasjonsskapende faktorer/team.
View Posts →
1 posts
Kevin er Corporate Storyteller, Content Strategist og Awareness@Work Consultant. Han skriver om nærværingslivet her i tilt.work.
View Posts →
1 posts
Cathrine Foss Stene er en erfaren team- og lederutvikler og har jobbet med og i mange av de største norske virksomhetene.
View Posts →
1 posts
Kari har en bachelor i statsvitenskap med fordypning i menneskerettigheter og flerkulturell forståelse. Hun går nå en modulbasert master i voksnes læring på NTNU. Hun er utdannet NLP Business Practitioner (Kreativ Ledelse og Coaching nivå A) hos UiA/Coachteam.
View Posts →
1 posts
Kathra er COO i oppstartselskapet Generation Mobility samt teamleder i bydel Gamle Oslo.
View Posts →
1 posts
Kristin er partner og markedssjef i MetaResource. Hun beskriver seg som en stolt "potet" som kan mye om mye og ofte finner løsninger eller nettverk som kan bidra. Hun skriver om mentale muskler i hverdagen.
View Posts →
1 posts
Thor Ivar Forsland er coach og karriereveileder hos Frisk Utvikling.
View Posts →
1 posts
Data Scientist med bred, internasjonal bakgrunn.
View Posts →
1 posts
Thomas skriver om tankesett, metoder og verktøy for morgendagens ledere.
View Posts →
1 posts
Jørn Bue Olsen er rådgiver og forfatter i ledelse og etikk Ekon, Dr., siv.ing. og førsteamanuensis ved Oslomet (Etikk og bedriftenes samfunnsansvar). Olsen skrev doktorgrad om etiske dilemmaer for ledere i konkurranseutsatt virksomhet der Hauge-caset er eksempel på kombinasjon av lønnsom verdiskapning og anvendt etikk. Olsen holder foredrag om «Hauge som fyrtårn for norske bedrifter i dag». Utga i 2020 ny bok, «Næringslivsetikk og samfunnsansvar», i samarbeid med Henrik Syse. Leif-Runar Forseth er rådgiver og forfatter innen ledelse, gründervirksomhet og etikk. Han har doktorgrad i teoretisk fysikk og mastergrad i filosofi, tema etikk og lederskap. Ny bok, "Naturlig lederskap", kom i 2020.
View Posts →
1 posts
Jeanette Luytkis er sertifisert profesjonell coach og ledelsesrådgiver. Hun leverer individuelle coaching og treningsopplegg, med spesialisering på lederskap, personlig vekst og innovativ forretningsutvikling.
View Posts →

Alltid på en tirsdag

«Jeg har fått en slags tirsdagsforventning», sa en abonnent. tilt.works ukebrev Tirsdag morgen er antagelig en smule vanedannende, men gode vaner kan man gjerne legge tll seg. Skaff deg selv en god ukentlig vane i dag — rett i din innboks! Alltid på en tirsdag, men aldri ellers i uka.

Fantastisk! Sjekk mailen din for en ekstra bekreftelse. Så ses vi på tirsdag.

Pin It on Pinterest

Share This
%d bloggere liker dette: