Hur compliance bygger säkerhet - eller inte

Att en organisation ska uppfylla de externa krav som ställs på den är självklart. Sådana krav kommer från landets författning (i Sverige från lag, förordning och föreskrift), från de avtal organisationen ingått och från de direktiv ägarna lämnat i bolagsordning och/eller instruktioner.

Det finns en (operativ) risk att externa krav inte uppfylls av organisationen. För att undvika det hanteras kraven i organisationens processer, och för att det ska bli så måste kraven vara kända av de processansvariga.

Ett bra hjälpmedel för att sprida och tolka de externa kraven, och för att distribuera kompletterande krav och önskemål, är interna styrdokument – policies, instruktioner, guidelines och liknande.

Framför allt vill ledningen använda styrdokumenten för att minska risken att organisationens mål inte uppnås inom de ramar som organisationen kan och får röra sig inom.

Är organisationen säker om den är uppfyller externa krav? Nej, inte nödvändigtvis. Externa krav är sällan så detaljerade att risken för oacceptabel skada är försumbar bara för att man följer kraven. Därför behöver kraven kompletteras innan man kan börja tala om en säker organisation.

I interna styrdokument kan ledningen ha tagit hänsyn till standarder och best practices, t ex PCI-DSS, OWASP Top 10 och diverse andra organisationers checklistor för säkerhet. Att följa standarder kan krävas enligt avtal, som exempelvis brukar vara fallet med PCI-DSS. Men oftast hänvisar ledningen till standard och best practice för att det är i linje med hur ledningen vill styra verksamheten.

Men är organisationen säker om man följer standard och best practice? Kanske, men sannolikt inte. Och det kan bli onödigt dyrt. Om standard och best practice inte ger det skydd organisationen faktiskt behöver mot de verkliga hoten och sårbarheterna finns säkerhetshålen kvar. Och om standard och best practice skyddar mot hot och sårbarheter som inte är relevanta för organisationen kostar det för mycket.

Därför redovisar man normalt i styrdokumenten hur säkerhetsarbetet ska bedrivas. Ledningens egen riskbedömning är utgångspunkten, och styrdokumenten anger på vilket sätt processägarna ska agera, t ex genom egna riskbedömningar och därav följande skyddsåtgärder, för att säkerställa att man når målen samtidigt som man uppfyller ställda krav.

Säkerhetsarbetet, med riskanalyser, åtgärdsplaner, aktiviteter, mätning och uppföljning, är således en liten men väsentlig komponent i arbetet med att hålla organisationens risker på acceptabel nivå, dvs. för att begränsa oönskade händelsers förmåga att leda till oacceptabla konsekvenser.

Säker = skyddad mot allt. Eller?

Säkerhet är ett lömskt uttryck med många bottnar. Det betyder olika saker för olika människor. Du går väldigt säkert på lina, jag tappar balansen eller också går linan av. Säkerhet antyder också en indelning av världen och livet i säkert och osäkert, eller i mer eller mindre säkert.

Så på livets väg, i riktning mot våra innersta önskningar, måste vi välja mer eller mindre säkra vägar. Hur vi väljer beror naturligtvis på vår inställning till risker (avert, neutral etc) men också på vår uppfattning om det konkreta med riskerna som sådana och på hur vi väljer att hantera dem. Det finns ett antal mer eller mindre säkra sätt. Du väljer.

Första frågan är vad det är för risker längs vägen. Ett bra sätt att öka säkerheten är att skaffa mer information för att på så sätt minska osäkerheten om möjliga vägval mot målet och om riskernas typ, storlek, plats, frekvens och möjliga påverkan på resan. Att veta är bättre än att tro, även när det gäller säkerhet. Hur mycket du behöver veta är ditt val.

Andra frågan handlar om hur jag använder informationen om vägarna, målet och riskerna. Är alla alternativ och deras konsekvenser på bordet blir beslutsunderlaget bättre, dvs säkrare. Vilka vägar kan jag välja, när går det att åka, hur upptäcker jag riskerna längs vägen, hur hanterar jag dem, ska jag förbereda någon slags skydd? Är jag hjälpt av en reseförsäkring? Eller ska jag avstå från resan till det hett eftertraktade målet? Du väljer vilka alternativ du väljer mellan.

Tredje frågan är beslutet. Följa den inslagna vägen, välja ny väg eller sluta resa mot just detta mål? Beslutet är ditt. Och du ansvarar för konsekvenserna.

Svårare än så är det säkert inte, varken privat eller i yrkeslivet.