For et par uger siden talte jeg med en virksomhed, som havde sparet investeringen i et nødstrømsanlæg til 400.000 kroner, hvorefter de seks måneder senere realiserede en tabt arbejdsfortjeneste på cirka 600.000 kroner på grund af et strømnedbrud.
Hvis man ikke velovervejet har besluttet hvilken informationssikkerhed, som er nødvendig, så er risikoen stor, for at man anvender for mange eller for få eller sågar forkerte ressourcer på at sikre sine informationsaktiver.
Lidt for meget
Grundet vildrede sker det, at nogle konkluderer ‘hellere lidt for meget, end lidt for lidt’.
Spørgsmålet er bare, om det ‘lidt for meget’ ender der, hvor der er behov for det.
Andre siger, ‘nu må nok være nok’ alene ud fra hvor mange ressourcer, der er anvendt på sikkerhed, men uden at vide om disse giver det ønskede resultat.
I Børsen Forum nyhedsbrev september 2007 stod der, “hvis du ved, hvad problemet er, så er det Lean, du skal bruge; hvis du ikke ved, hvad problemet er, så er det Six Sigma, du skal bruge.”
Denne tankegang kan med fordel anvendes, når man arbejder med informationssikkerhed.
Det unødvendige skal fjernes
Meget forenklet kan filosofien bag Lean beskrives, som at arbejde med at fjerne det unødvendige, som ikke giver værdi, og Six Sigma som at sikre, at det nødvendige er til stede og giver værdi.
Det er nemt at gå for langt såvel i den ene som den anden retning.
Lean-eksperten skal forstå, at en sikkerhedssele er fornuftig, specielt når man kører 160 km/t.
Six Sigma eksperten skal huske, at sikkerhedsselen ikke skal sidde så stramt, at man ikke kan nå speederen, for så kommer man jo ingen vegne.
Man må hverken underdrive sandsynligheden eller overdrive konsekvensen.
En årsag til at Lean og Six Sigma har stor opmærksomhed, og for mange virksomheder også en betydelig effekt, er, er at virksomheder som er bare 5-10 år gamle allerede lider af lagkage-syndromet: Hvis man ikke er tilfreds eller tryg ved det nuværende, lægger man et lag ovenpå indtil den dag, hvor man igen ikke er tilfreds, og så gentager situationen sig.
En Lean-baseret proces skralder disse lag af igen, og en Six Sigma-proces forbedrer og styrker det nederste lag i stedet for at lægge et nyt lag oven på.
Gør det samme med virksomhedens informationssikkerhed.
Ud med sikkerhedslagene
Start med (på papiret) at fjerne alle sikkerhedslag, tekniske såvel som procesmæssige.
Beslut så hvilken sikkerhed, der reelt er nødvendig samt mest hensigtsmæssig ud fra de forretningsområder virksomheden arbejder med og den overordnede strategi.
I tråd med Lean og Six Sigma-filosofierne skal der arbejdes i helheder og i hele værdikæde-/procesforløb.
Resultatet kan gradvist omsættes fra papir til praksis, da det nu er muligt at se, hvad der er relevant og nødvendigt, og hvad der er unødvendige levn fra fortiden eller resultatet af en unødvendig overforsikring.
Lean informationssikkerhed skal ikke styres af mål som mindre sikkerhed eller lavere omkostninger, men af et mål om relevant og nødvendig sikkerhed, som matcher virksomheden og forretningsaktiviteterne samt falder så naturligt ind i forretningsprocesserne som muligt, og derfor er af værdi.
Niels Madelung er projektchef i Dansk Standard.
Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.
