Att vara ADB-säkerhetschef innebär att sälja idéer om ADB-säkerhetens betydelse. Kunskap om pedagogik, psykologi och presentationsteknik är viktiga liksom analyskunskaper och förmåga att se helheten.
Det framhåller Göran Ledell vid Infosec i Sundsvall i denna artikel där han beskriver vad utbildningen av ADB-säkerhetschefer bör lägga tonvikten på.
Att vara ADB-säkerhetschef har hittills inte varit ett jobb som varit särskilt glamoröst. Tvärtom har det ibland upplevts som en återvändsgränd i karriären eller varit ett jobb som av omgivningen upplevts endast bestå i att utforma restriktioner för andra.
Är detta en riktig beskrivning? Krävs det inga speciella kvalifikationer? Kan vem som helst bli ADB-säkerhetsansvarig?
Självklart är svaret på den sista frågan nej. Och visst krävs det både speciella kvalifikationer och speciell utbildning. Att vara ADB-säkerhetsansvarig är en mycket besvärlig funktion som verkligen kräver mycket.
Först bör vi dock konstatera att i de allra flesta verksamheter är inte ADB-säkerhetsansvarig en heltidssyssla, utan kombineras med andra uppgifter. En försiktig gissning ger vid handen att det nog inte kommer att finnas mer än 200–300 heltidssysselsatta ADB-säkerhetschefer i Sverige. Men det kommer att finnas många fler som är ADB-säkerhetsansvariga på deltid. En deltid som varierar mellan 5–90 % av en heltid. Observera dock att på ett stort antal ”deltidsföretag” kommer det att krävas 2–3 års heltidsarbete för att uppnå en godtagbar ADB-säkerhetsnivå. Tyvärr är den aktuella ADB-säkerhetsnivån så dålig i många företag i Sverige i dag.
Oberoende av om man jobbar hel- eller deltid med ADB-säkerhetsfrågorna krävs som tidigare sagt utbildning. Låt oss närmare titta på vad som krävs.
Grundkrav
Att jobba med ADB-säkerhet är ett arbete som kräver att man
* har förmåga att uttrycka sig på ett pedagogiskt riktigt sätt så att omgivningen förstår varför man måste följa vissa regler
* kan marknadsföra de idéer och de principer som ADB-säkerheten innebär
* är flexibel och har förmåga att hitta lösningar som alla kan acceptera. Det är bättre att något litet händer än att ingenting alls inträffar.
Nämnda egenskaper och krav är ju milt sagt generella. Det finns knappast något yrke inom ADB-världen där dessa krav inte finns. Ändå så saknar väldigt många förmågan. Skulle man betygsätta de flesta presentationer man sett så inte blev det särskilt många överbetyg. Generellt sett så är de flesta urusla presentatörer som pratar ett språk ingen förstår och dessutom är mycket ovilliga att lyssna på vad andra säger.
Självklart förnekar de flesta detta, men tänk efter en stund så håller nog många med mig. Med detta som utgångspunkt skulle jag vilja börja med att utbilda en ADB-säkerhetsansvarig i
– pedagogik
– psykologi
– presentationsteknik
Det gäller alltså att lära sig att förstå hur andra människor fungerar och beter sig inför restriktioner, som ju trots allt är en del av ADB-säkerheten.
Analyskunskaper
Att jobba med ADB-säkerhet innebär att man måste kunna analysera de risker som finns med att utnyttja datorer. Det innebär alltså att man måste kunna olika riskanalysmetoder så att man kan plocka fram de beslutsunderlag som behövs för att investera i ADB-säkerhet.
Riskanalys är svårt om man skall göra det på ett perfekt teoretiskt sätt och det finns många komplicerade modeller. Min egen uppfattning är att det inte är de mest komplicerade modellerna som är de bästa utan att det är viktigare att alla förstår hur riskanalysen fungerar. Därför räcker det ofta med den förenklade modell som finns i SBA-metoden.
För den ADB-säkerhetsansvarige är det alltså viktigt att känna till vilka olika modeller som finns, för- och nackdelar samt att välja en modell som man själv tror på och kan förklara för andra.
En förutsättning för att riskanalysen skall fungera är att den placeras in på ett riktigt sätt i verksamheten. Jag tror därför att man samtidigt med att man skaffar sig kunskap om olika riskanalysmetoder så måste man också lära sig att kunna genomföra och förstå verksamhetsanalyser. Ofta glöms verksamhetsanalysen bort och riskanalysen kommer därigenom fullständigt snett. Jag tror därför att det inte skadar att den ADB-säkerhetsansvarige utbildar sig relativt omfattande i olika tekniker för verksamhetsanalys.
Fysiskt skydd
Det här området tror sig de flesta behärska och oftast är väl också skyddet inom det här området på de flesta datorinstallationer ganska bra. Åtminstone om man nöjer sig med att titta på den centrala datorn.
Givetvis är det här ett relativt lätt område. De flesta åtgärderna är ju ganska konkreta och finns inte bara inom ADB-säkerhetsområdet. De rör ju sig ofta om vanligt sunt bondförnuft.
Jag är ändå beredd att påstå att de flesta behöver veta mera, alternativt lära sig var kunskaperna finns. Det sistnämnda är kanske både det lättaste och bästa sättet. Enligt min egen uppfattning finns det ju ingen anledning att belasta hjärnan med det andra redan kan. Jag tycker nog att det viktigaste är att veta var jag kan få hjälp. Det finns därför anledning att inom just det här området skaffa sig mer översiktlig kunskap än detaljkunskap.
Funktionsskydd
Även det här området kräver mer av översiktliga kunskaper än detaljer. Att ADB-säkerhetschefen skall vara operativsystemspecialist eller kommunikationsexpert är enligt min uppfattning fel i 99 fall av hundra. Resultatet blir ofta varken det ena eller det andra och slutar ofta med att personen i fråga byter jobb och väljer sida.
Å andra sidan måste man givetvis kunna förstå det språk som specialisterna pratar annars blir ju dialogen med experterna ganska obegriplig.
En sak bör man kanske dock alltid komma ihåg: ”Det är de små små detaljerna som gör’et”. Med andra ord: Ner på golvet och titta hur det fungerar praktiskt! Alltför ofta glöms detta bort. Att praktisera i driftfunktionen kan ge många goda lärdomar för dem som inte tidigare jobbat i löpande drift.
Åtkomstskydd
Tyvärr tycks idag många tro att åtkomstskydd är en rent datateknisk fråga. Visst kan man med tekniken klara många problem men inte alla. Det krävs alltid att man kan se helheten. Det är nödvändigt att den ADB-säkerhetsansvarige inte bara utbildar sig på fantastiska maskinella behörighetssystem, utan också lär sig en del om manuella kontrollrutiner som attest, godkännande och att inte en person skall göra allt från början till slut.
När det gäller åtkomstskydd är det också viktigt att komma ihåg att åtkomstskyddet måste anpassas till verksamheten. Alltför ofta glöms verkligheten bort och därmed blir också åtkomstskyddet ofullständigt.
Datakvalitet
Det här är det svåraste området för en ADB-säkerhetsansvarig. Det är nämligen abstrakt och svårt att ta på. Det är ett område som är grunden för en fungerande ADB-säkerhet och ändå finns det så oerhört litet skrivet och så ont om metoder.
Ändå kräver just datakvalitéfrågorna att den ADB-säkerhetsansvarige utbildar och informerar alla som utvecklar informationssystem. Detta är en svår fråga när det gäller den traditionella systemutvecklingen, men blir nästan en omöjlig uppgift när nu 4:e generationens programspråk kommer.
Det gäller att få alla som utvecklar system att förstå att datakvalité inte är något som kommer av sig självt utan är ett resultat av ett systematiskt och medvetet kontrolltänkande.
Jag är emellertid tveksam om problemet med datakvalitén kräver att den ADB-säkerhetsansvarige kan systemera och programmera. Att kunna tala dessa personalkategoriers språk är givetvis ett krav och en förutsättning för framgång, men det kan ibland vara bättre att inte kunna för mycket. Den okunnige ställer ibland de intelligentaste frågorna.
Katastrofplanering
Är det något som är populärt idag, så är det katastrofplanering. Idag är det inneordet. Vad kräver det då av den ADB-säkerhetsansvarige? Först och främst kanske förmågan att ifrågasätta. Är det just detta vi skall göra just nu?
Förr eller senare blir det dock aktuellt och då blir det ofta den ADB-säkerhetsansvarige som blir projektledare för det projekt som katastrofplanen ofta kräver. Att utforma en katastrofplan är inte mer komplicerat än mycket annat, utan är mer en fråga om samordning, analys och avvägning. Hur man skall göra finns det gott om litteratur om.
Projektledare
Egentligen är väl detta ett grundkrav, men det är inte helt säkert. I vissa fall behöver det inte vara den ADB-säkerhetsansvarige som är projektledaren i olika säkerhetsprojekt. Ofta är det dock så att den ansvarige blir projektledaren/samordnaren.
Det krävs givetvis inga speciella egenskaper att vara projektledare för ett säkerhetsprojekt. Det är precis samma krav som på andra projektledare. Tråkigt nog tycks de flesta dock inte få någon utbildning för denna uppgift. Resultatet blir ofta därefter.
Är avsikten att den ADB-säkerhetsansvarige skall fungera som projektledare tror jag att det är mycket viktigt att man gör någon form av projektledarutbildning.
Utbildningsvägar
Hur skaffar man sig då ovan skisserade kunskaper?
Ja, hittills har möjligheterna att få en samlad utbildning varit små. Kunskaperna har möjligen kunnat förvärvas genom att delta i kurser och seminarier. Självklart har också erfarenhetsutbytet i framförallt den speciella intressegruppen inom SSI, d v s SIGSEC, varit en framkomlig väg. Dessutom har det funnits en del mer omfattande seminarier utomlands.
Under 1984 har det skett en anmärkningsvärd förändring. Två stycken utbildningar direkt riktade mot ADB-säkerhetsansvariga har startats.
Det är dels Stockholms universitet som under hösten kommer att arrangera en 20-poängskurs i just ADB-säkerhet. En 5-dagarskurs som avslutas med ett praktiskt arbete.
Det andra alternativet kommer från mitt eget företag, INFOSEC, som arrangerar en fördjupande ADB-säkerhetskurs. Den omfattar 21 dagar uppdelade i 6 block med mellanliggande praktiskt arbete.
Jag är knappast den rätte att analysera för- och nackdelar mellan de olika alternativen. Det intressanta är dock att det nu börjar komma utbildning som vänder sig direkt till den ADB-säkerhetsansvarige och som därmed gör jobbet till en karriär. En förutsättning för att yrket skall kunna vidareutvecklas.
Vidareutveckling
Självklart räcker det inte med att gå en kurs även om den är på 21 dagar. Det gäller att vidareutvecklas och att hålla sig à jour.
Här finns det f n ”bara” seminarier, konferenser och tidningsartiklar, samt det kanske viktigaste: ett aktivt erfarenhetsutbyte, spontant eller organiserat i någon form.
Det är dock viktigt att den ADB-säkerhetsansvarige inte bara koncentrerar sig på ADB-säkerhet utan också följer med den ADB-tekniska utvecklingen. Det är ju en självklarhet att tekniken inte står still och därför gäller det att hänga med.
Glöm dock inte bort att följa med i verksamhetens utveckling. Inget företags verksamhet står still. Det sker förändringar varje dag. Varje förändring innebär också en förändring i ADB-säkerhetsnivån. Här gäller det att följa med.
Sammanfattning
Jag hoppas att alla som orkat läsa hit har förstått mitt budskap: Att ADB-säkerhetsansvarig/chef inte är att vara specialist på alla typer av skydd utan är att vara den som samordnar och ser till att företaget har en riktig säkerhetsnivå. Detta kräver en generalist som givetvis kan och har översikten av vad som finns inom ADB-säkerhetsområdet, men framförallt kan sälja idén om ADB-säkerhetens betydelse för företaget och den enskilde individen. För detta krävs engagemang och marknadsföring. All fin utbildning till trots. Det viktigaste är och förblir det personliga engagemanget.
Göran Ledell, vd vid Infosec Prosab AB i Sundsvall