Sikkerhet – et konkurransefortrinn

Sikkerhet for sikkerhets skyld hjelper ikke bedriftene, hevder Nicholas Murison.

IT-SIKKERHET: Det er lett for bedrifter å se på sikkerhet som et nødvendig onde, ifølge Nicholas Murison. Illustrasjon: Dreamstime
Debattinnlegg

Vi blir stadig mer opptatt av sikkerhet, og det er lett for bedrifter å se på det som et nødvendig onde.

Historisk sett har dette vært et område for konflikt mellom «time to market» og sikkerhet

I anledning Nasjonal Sikkerhetsmåned nå i oktober, kan det være smart for bedrifter å evaluere om de faller inn i denne fellen eller om de klarer å se på sikkerhet som et konkurransefortrinn.

Nicholas Murison. Foto: Miles

Historisk sett har dette vært et område for konflikt mellom «time to market» og sikkerhet. Produktteam jobber smidig, med tverrfaglige autonome team for å gå fra et konsept til å levere verdi. Sikkerhet har historisk sett blitt oppnådd gjennom en kontrollbasert prosess, ved å stille sikkerhetskrav, drive sikkerhetsanalyser av løsningen som kommer i tillegg til vanlige utviklingsaktiviteter, og så godkjenning eller avslag av en løsning før den blir løslatt. Det er litt som en kjører med både bremsen og gassen på samtidig.

Det blir lett konflikt når sikkerhetseksperter bare tenker på sikkerhet

Det kan være lett for en bedrift å tenke at de enten kan levere ny funksjonalitet, eller bruke tid og ressurser for å forsikre seg at løsningen er sikker. På grunn av ny lovgivning, forventninger fra sluttkunde og den økende sannsynligheten for at noe skal gå galt, blir sikkerhet sett på som en nødvendig kostnad. Her må tradisjonell sikkerhetstenkning ta en del av ansvaret. Ved å fokusere på problemer sent i prosessen, istedenfor å hjelpe å forebygge tidlig, blir sikkerhet sett på som et hinder, ikke som en del av løsningen.

Det blir lett konflikt når sikkerhetseksperter bare tenker på sikkerhet, istedenfor hvordan sikkerhet kan øke kundeopplevelsen. Sikkerhet for sikkerhets skyld hjelper ikke bedriftene. Sikkerhetsansvarlige må tenke smidig på samme måte som produktteamet. En kulturendring er nødvendig for å få dette til i mange organisasjoner. På den måten kan man proaktivt diskutere sikkerhet, på lik linje som kvalitet, når man definerer konsept og krav, istedenfor å se etter problemer i etterkant når løsningene er på vei ut døren.

For å oppnå en slik kulturendring må lederskapet i organisasjonen kommunisere klart at sikkerhet er en prioritet

Et sikkerhetsteam som sitter isolert, hjelper ikke når produktteamene er blitt tverrfaglige og autonome på andre fronter. Et tverrfaglig produktteam kan ta sine egne beslutninger om mye, og dette burde inkludere sikkerhet og risikovurderinger. Her kan sikkerhetsteamet fungere som rådgivere, gjerne ved å tilby hvert produktteam en sikkerhetsansvarlig eller ambassadør som bidrar aktivt til å skape løsninger.

For å oppnå en slik kulturendring må lederskapet i organisasjonen kommunisere klart at sikkerhet er en prioritet. Her er det ikke bare en mulighet for å unngå bøter og skade på omdømme grunnet dårlig sikkerhet. Her kan bedrifter øke tillit hos kunder og skape et konkurransefortrinn ved å bli kjent for å ta sikkerhet på alvor.

Nicholas Murison

Sikkerhetsrådgiver i Miles

Kommentar
Debattinnlegg