- Dan Ove Skaalerud, Adm. dir. Junglemap AS
Roar Thon fra NSM og Trude Talberg-Furulund fra NorSIS går i artikler på digi.no den 29. og 27. september til forsvar for Nasjonal sikkerhetsmåned, og i rette med Thomas Tømmernes' gode tankevekker rundt samme tema den 26. september.
Argumentene til Thon og Talberg-Furulund kan kanskje summeres som «å gjøre noe i oktober er bedre enn å ikke gjøre noe» og «hva er alternativene?»
Jeg tror at myndighetene bør trå forsiktig her, det de sier kan faktisk komme i veien for det man egentlig bør gjøre av tre grunner – og nøkkelordet her er prosess. Det er ikke mange områder i en virksomhet som får en varig resultatforbedring – eller i dette tilfellet, en varig risikoreduksjon – uten å ha eller etablere en prosess. Skippertak gir liten effekt over tid.
For det første, en god lærings- og bevisstgjøringsmetode må ha innebygget i seg repetisjon og forsterkning. Spørsmålet blir da, hva gjør man for å repetere og forsterke de neste 11 månedene i året? Når myndighetene ikke virker å ha noen annen tanke om hva man bør gjøre, men argumenterer for at en oktober-«dult» eller «å gjøre noe er bedre enn å ikke gjøre noe» så blir det litt lite til hjelp?
Ekstra innsats i oktober er ikke synonymt med årvåkne ansatte i de neste 11 månedene, så når oktober er over, er risikoen allerede på vei oppover igjen
For det andre, en lærings- og bevisstgjøringsprosess relatert til digital sikkerhet (og man kan godt ta med personvern her også) må bidra til robust årvåkenhet i hverdagen. Alle – både individer og organisasjoner – har en glemselskurve, vi glemmer raskt det vi har lært (Ebbinghaus m.fl.). Ekstra innsats i oktober er ikke synonymt med årvåkne ansatte i de neste 11 månedene, så når oktober er over, er risikoen allerede på vei oppover igjen.
Det tredje en lærings- og bevisstgjøringsprosess må bidra til, er en kontinuerlig dialog i organisasjonen om sikkerhet og personvern – året rundt. Igjen, en impuls i oktober skaper liten dialog eller effekt i mars.
Sagt litt billedlig, å ta en liter tran i oktober bidrar antakelig lite til en varig helseeffekt.
Hva om Sikkerhetsmåneden faktisk bidrar til økt risiko, i og med at myndighetenes «metode» ikke bidrar til, eller kanskje til og med kommer i veien for læring og bevisstgjøring hele året rundt?
Jeg er selv kjent med velkjente norske myndigheter og kommuner, som nå planlegger å gjøre sin årlige opplæring i oktober, og som ikke har budsjettert eller planlagt å gjøre noe utover dette det neste året. Hva om dette er en konsekvens av Nasjonal sikkerhetsmåned?
Min oppfordring til de nevnte myndighetene må være å bidra til læring og bevisstgjøring rundt digital sikkerhet og personvern året rundt – på godt og vondt – og å foreskrive årshjul, prosesser, metoder og virkemidler for hvordan man gjør dette.
For øvrig vil jeg gjerne berømme Roar Thon, NSM og NorSIS for det de ellers gjør i hverdagen.
Les også tidligere innlegg i denne debatten:
- Thomas Tømmernes: En sikkerhetsmåned til besvær?
- Trude Talberg-Furulund: Sikkerhetsmåneden – en besværlig, men nødvendig sikkerhetsdult
- Roar Thon: Nasjonal sikkerhetsmåned. Hva er alternativene?
- Thomas Tømmernes: En dult er ikke nok