Til forsiden
29-07-2019

IT–bransjens «cowboyer»

IT-bransjen trenger «cowboyer» for å flytte verden fremover, men vi trenger også noen som holder dem i øra.

Thomas Tømmernes
Leder for IT-sikkerhet
Thomas Tømmernes

Denne saken har tidligere vært publisert på digi.no.

Da jeg vokste opp, var det å være cowboy en hedersbetegnelse. De var de tøffeste av de tøffe. Hardtarbeidende karer som jobbet på rancher.Jo kjappere de kunne trekke revolveren opp av hylsteret på hofta og skyte blink, jo mer annerkjennelse fikk de.

De var også kjent for å ta den helt ut når de ikke var på «jobb» - og feste som om det ikke fantes noen morgendag. Kombinasjonen alkohol, temperament og raske våpen er for alle som har sett en cowboyfilm et velkjent fenomen.

Dette er også som regel starten på de aller fleste cowboyfilmene, før en U.S. Marshal må inn og redde både situasjonen, sheriffen og selvfølgelig hjertet til nybyggerkvinnen.

Frynsete rykte

I næringslivet er cowboy derimot ofte en betegnelse på en figur med mye pågangsmot, kjappe beslutninger og dårlig konsekvensanalyse og risikoforståelse, som har gitt et noe frynsete rykte. Vi finner cowboyer innenfor de fleste sosiale lag og yrker, og fellesnevneren er at alle vet hvem de er og omtaler dem som mennesker som trekker raskt fra hofta og «skyter seg i foten» med et velmenende smil.

Det som er helt sikkert er at vi trenger cowboyer for å få verden til å gå fremover – også i IT-bransjen som jeg representerer, rett og slett fordi disse er kreative, uredde, banebrytende og arbeidsomme, og har en spesiell evne til ikke å gi opp.

Det som imidlertid er viktig å tenke på er at uansett hvor man er eller hva man gjør innenfor IT-bransjen, så er IT-sikkerhet noe man ikke kan håndtere på cowboy-vis.

Men hvordan vet du som bestiller av IT hvem du kan stole på, som kan gjøre de riktige vurderingene, ta de fornuftige veivalgene og gi de beste rådene? Og hvordan vet du hvem som fremstår som cowboyer i væremåte og fremtoning, men som likevel vil ivareta dine data i tråd med beste praksis?

Still krav

Et sted å begynne er hos myndighetene. For akkurat som U.S. Marshals Service (USMS) ble opprettet i 1789 som en amerikansk føderal politietat for å passe på cowboyer og andre uromomenter, har vi i Norge Nasjonal Sikkerhetsmyndighet, som på mange måter har en tilsvarende oppgave innenfor IT-bransjen i 2019.

NSM
har både utarbeidet grunnprinsipper for IKT-sikkerhet og sikkerhetsfaglige anbefalinger ved tjenesteutsetting, som alle vi som jobber med IT-sikkerhet bør etterfølge og levere våre produkter og tjenester i tråd med.

Ved å stille krav til IT-leverandørene i henhold til disse, vil norske virksomheter få det anbefalte nivået med IT-sikkerhet som myndighetene krever innenfor denne bransjen, og ikke minst blir det satt opp på riktig måte.

IT-truslene større enn noen gang

I tillegg har norske myndigheter kommet opp med en ordning som, hvis du legger godviljen til, har likhetstrekk med hvordan U.S. Marshals opererer i de fleste cowboyfilmer.
Her rekrutterer de gjerne cowboys «on site», som de trener opp til deputys og får dem til å sverge eden om å kjempe for lov og rettferdighet, før de rir av gårde for å stoppe bandittene.

Og akkurat som U.S. Marshals kunne rekruttere når behovet for utvidet mannskap dukket opp, har NSM opprettet en kvalitetsordning for bruk av leverandører av tjenester for håndtering av IKT-hendelser, som tre norske selskaper per i dag tilfredsstiller kravene til.

Det betyr med andre ord at myndighetene nå godkjenner private virksomheter som fungerende «deputys», et tiltak som er et resultat av at IT-truslene vi står overfor i dag er større enn noen gang og norske virksomheter daglig blir utsatt for angrep og svindelforsøk.

Genial ordning

Ordningen er genial for å få flere betrodde skadebegrensere nasjonalt, og ikke minst en tillitsarena der norske virksomheter kan velge å kjøpe tjenester og samarbeide med IT-sikkerhetsaktører som er anbefalt av myndighetene.

La meg si det slik: Du leverer ikke bilen din til et verksted som ikke har sertifiseringene på plass for å foreta EU-godkjenning? Hvorfor skulle du gjøre noe annet med verdiene til den virksomheten du jobber i?

Listen over de NSM-godkjente IT-sikkerhetstilbyderne finner du her.

 
Følg meg gjerne på twitter som @TTmmernes, der jeg deler fortløpende info rundt IT-sikkerhet og pusser Deputy stjerna
😊