DEBATT

Når norske sikkerhetsmyndigheter foreskriver skippertak som metode i 2019

Illustrasjonsfoto.
Illustrasjonsfoto. Foto: Colourbox
1. okt. 2019 - 18:00

Denne kommentaren gir uttrykk for skribentens meninger.

  • Dan Ove Skaalerud, Adm. dir. Junglemap AS
Dan Ove Skaalerud, Adm. dir. Junglemap AS. <i>Foto:  Junglemap</i>
Dan Ove Skaalerud, Adm. dir. Junglemap AS. Foto:  Junglemap

Roar Thon fra NSM og Trude Talberg-Furulund fra NorSIS går i artikler på digi.no den 29. og 27. september til forsvar for Nasjonal sikkerhetsmåned, og i rette med Thomas Tømmernes' gode tankevekker rundt samme tema den 26. september

Argumentene til Thon og Talberg-Furulund kan kanskje summeres som «å gjøre noe i oktober er bedre enn å ikke gjøre noe» og «hva er alternativene?» 

Jeg tror at myndighetene bør trå forsiktig her, det de sier kan faktisk komme i veien for det man egentlig bør gjøre av tre grunner – og nøkkelordet her er prosess. Det er ikke mange områder i en virksomhet som får en varig resultatforbedring – eller i dette tilfellet, en varig risikoreduksjon – uten å ha eller etablere en prosess. Skippertak gir liten effekt over tid.

For det første, en god lærings- og bevisstgjøringsmetode må ha innebygget i seg repetisjon og forsterkning. Spørsmålet blir da, hva gjør man for å repetere og forsterke de neste 11 månedene i året? Når myndighetene ikke virker å ha noen annen tanke om hva man bør gjøre, men argumenterer for at en oktober-«dult» eller «å gjøre noe er bedre enn å ikke gjøre noe» så blir det litt lite til hjelp? 

Ekstra innsats i oktober er ikke synonymt med årvåkne ansatte i de neste 11 månedene, så når oktober er over, er risikoen allerede på vei oppover igjen

For det andre, en lærings- og bevisstgjøringsprosess relatert til digital sikkerhet (og man kan godt ta med personvern her også) må bidra til robust årvåkenhet i hverdagen. Alle – både individer og organisasjoner – har en glemselskurve, vi glemmer raskt det vi har lært (Ebbinghaus m.fl.). Ekstra innsats i oktober er ikke synonymt med årvåkne ansatte i de neste 11 månedene, så når oktober er over, er risikoen allerede på vei oppover igjen. 

Det tredje en lærings- og bevisstgjøringsprosess må bidra til, er en kontinuerlig dialog i organisasjonen om sikkerhet og personvern – året rundt. Igjen, en impuls i oktober skaper liten dialog eller effekt i mars. 

Sagt litt billedlig, å ta en liter tran i oktober bidrar antakelig lite til en varig helseeffekt. 

Hva om Sikkerhetsmåneden faktisk bidrar til økt risiko, i og med at myndighetenes «metode» ikke bidrar til, eller kanskje til og med kommer i veien for læring og bevisstgjøring hele året rundt

Jeg er selv kjent med velkjente norske myndigheter og kommuner, som nå planlegger å gjøre sin årlige opplæring i oktober, og som ikke har budsjettert eller planlagt å gjøre noe utover dette det neste året. Hva om dette er en konsekvens av Nasjonal sikkerhetsmåned? 

Min oppfordring til de nevnte myndighetene må være å bidra til læring og bevisstgjøring rundt digital sikkerhet og personvern året rundt – på godt og vondt – og å foreskrive årshjul, prosesser, metoder og virkemidler for hvordan man gjør dette. 

For øvrig vil jeg gjerne berømme Roar Thon, NSM og NorSIS for det de ellers gjør i hverdagen.

Les også tidligere innlegg i denne debatten:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.