Sikkerhet – problem eller løsning?

SINTEF INFOSEC

Sikkerhet er ikke en begrensning, men en muliggjører. Manglende sikkerhet er meget definitivt en begrensende faktor, men om man tar sikkerheten på alvor og implementerer tilstrekkelige sikkerhetstiltak vil god sikkerhet støtte opp under god og riktig utnyttelse av data.

For en tid tilbake var det noen som sa til meg at “sikkerhet, det må vel være en barriere”. Og jeg kan forstå at vedkommende tenkte slik, for vi som driver med sikkerhet har vært flinke til å snakke om alt som går galt, alt som er ulovlig og alt som ellers er vondt og vanskelig i sikkerhetsverden. I dag skal du få del i en aldri så liten hemmelighet: sikkerhet er ikke problemet, men del av løsningen.

Sikkerhet er ikke en barriere. Manglende eller utilstrekkelig sikkerhet derimot, kan være en barriere. Sikkerhet er løsningen for å overvinne denne barrieren.

Mange oppgaver har krav til sikkerhet. For eksempel finnes det dokumenter det stilles strenge krav til hvordan oppbevares i fysisk format. Når så disse dokumentene digitaliseres (hva nå enn det ordet måtte bety), kan dette skje på minst tre måter ved å:

  • Sikre den digitale versjonen i tilsvarende grad som den fysiske
  • Unnlate å digitalisere siden sikkerhet oppleves som en kostnad og barriere for å kunne digitalisere dokumentet
  • Avfeie sikkerhet som en unødvendig fordyrende affære og digitalisere uten å ivareta sikkerhet

Både å sikre og å unnlate å digitalisere dokumentet vil være legitime valg her – gitt at regnestykket faktisk viser at det er bedre og billigere å vedlikeholde og sikre et fysisk dokument enn å digitalisere. Å digitalisere uten å ivareta sikkerhet medfører at den digitale tjenesten leverer et dårligere produkt enn det fysiske dokumentet (til tross for at brukeropplevelsen kan være bedre). Det essensielle spørsmålet å stille seg er hvorfor dokumentet ble sikret i sin fysiske tilstand? Om du ville være komfortabel med at det ble hengt opp på nærmeste busstopp, kan du rettmessig tenke at sikkerhet ikke er så viktig for deg. Skulle du derimot ikke være helt komfortabel med det, er det ikke lenger sikkerhet som er barrieren for digitalisering, men derimot eventuell mangelfull sikkerhet.

Følgelig er ikke spørsmålet om du har råd til å kjøpe sikkerhet, men om du har råd til å la være! Har du råd til å la være å digitalisere eller å la informasjon komme på avveie?

Sikkerhet er ikke en ekstra kostnad på toppen av en innkjøpt løsning. Det er en grunnleggende kvalitetsverdi ved enhver løsning. Litt som at bremser og blinklys i en bil. De er der begge for at du skal kunne kjøre fort og få god flyt i trafikken.

Når du gikk over til å bruke nettbank, gjorde du det med en tanke om at siden dette er en digital tjeneste er det greit at pengene dine ikke er sikre? Med mindre du er veldig ulik meg, gjorde du selvsagt ikke det. Du forventet trolig at pengene stadig var like sikre som i banken! Følgelig ville de fleste av oss regnet nettbanken som et dårligere produkt om det ikke beskyttet sparepengene våre på en tilstrekkelig måte.

Når du digitaliserer dine tjenester eller papirark, er det ikke et fullverdig produkt før den digitale versjonen er tilsvarende godt sikret som den analoge, gitt gjeldende risiko knyttet til denne verdien.

Følgelig er riktig sikkerhet en grunnleggende kvalitet ved ethvert system. Det er en del av grunnlaget for å kunne digitalisere, ikke et ekstra gode man kan ta seg råd til om det er penger igjen eller mer tid til levering.

Så må man selvsagt huske at sikkerhetsnivået bør stå i forhold til det som skal beskyttes. Du trenger ikke alltid bygge Fort Knox til tross for at sikkerhetsindustrien liker å fremstille det slik. Riktig sikkerhetsnivå til hele folket!

Trenger du hjelp til å finne riktig sikkerhetsnivå for din virksomhet eller kanskje du har en spennende sikkerhetsutfordring du ønsker noen skulle forske på? Ta kontakt med oss, vi er alltid på jakt etter nye venner!