Sikkerhet: It's the data, stupid ...

En enkel – men alvorlig – omskriving av KISS, ‘keep it simple, stupid’. Selv i 2020 - mens verden koker rundt oss - beskytter vi lageret mens dataene lekker alle veier.

Lett spisset, men faretruende ofte nær sannheten. Og et av temaene på en 'zoomstorming' for IT-ledere nylig (se også Zero Trust, Zero Effect?), der vi blant annet spurte: Hva er sikringstiltakene rettet mot? Hva er det vi forsøker å beskytte/sikre? Ingen stor overraskelse – dette er tradisjonell tenking: Hvis boksen er sikret, må innholdet være sikkert.

Mange kjenner seg igjen - litt eller mye. Tallerkenen er full, vi har andre områder som synes mer akutte. Dessuten – det har virket, det virker sikkert en stund til. Vi vet bedre, men slik ble det – og vi kjenner ingen som er ‘syndfri’. Selv CSOer – med sikkerhet som hovedansvar – har ofte et lerret å bleke i denne retningen.

Dessuten - alle har fått en krise i ryggen. En situasjon som uten unntak endrer prioriteringer, utfordringer, ressurser og muligheter. Ikke minst det siste, som vi skal komme tilbake til.

Den korte og brutale virkelighetsbeskrivelsen er at en del tiltak og mekanismer vi har ansvar for, er historiske. Tilpasset verden før digital transformasjon, før store deler av hverdagen – privat og profesjonelt – ble virtuell. Før dataflyt – usynlige strømmer av bits – ble viktigere enn infrastruktur. Og definitivt før en pandemi som ingen overlever uten at datastrømmer flyter der de skal og sikringstiltak er adekvate i forhold til risiko og verdier.

Her er vi tilbake til temaet på vår 'zoomstorming': Data. Det er lett å være enige om at det er dataene som representerer realverdi, det er dataene som skal beskyttes, sikres og gjøres selektivt tilgjengelige og anvendelige. Zero Trust, som ble diskutert i artikkelen vi refererte til ovenfor, er en essensiell holdningsmessig komponent i denne ligningen, men det starter og slutter alltid med data. Hva har vi, hvor, i hvilke mengder, av hvilken kvalitet som brukes i hvilke sammenhenger – etc. Og hvilken risikoprofil representerer de?

Det er lenge siden holdningen 'data er data' ble historisk, men avstanden fem til full oversikt og kontroll er fortsatt lang for de fleste. Det sikkerhets-proffene vil (eller bør) spørre om når de får utfordringen å foreslå optimaliserte sikkerhets-regimer, vil være omtrent følgende – hentet fra en fersk blogg fra sikkerhetsselskapet UpGuard (How to Determine Your Security Posture):

• What data do we collect?
• How and where are we storing this data?
• How do we protect and document the data?
• How long do we keep data?
• Who has access internally and externally to the data?
• Is the place we are storing the data properly secured?

Hvis dette virker overveldende, har vi ingen gode nyheter: Jo dypere vi dukker, desto mer komplisert blir det – til vi innser at 'her har vi ingen ting å gjøre'. Dette er for eksperter. Og da er vi framme ved poenget - som også konkluderte vår 'zoomstorming' for ledere: Vi skal forstå behov og sammenhenger, men ikke detaljene. Forstå bildet, men ikke pikslene.

Alle har omtrent samme utfordring, om enn i ulik skala, og de samme 'alle' trenger en datasjef. Som kan data, har ansvar for data. Ikke nødvendigvis med dyp data science ekspertise selv, men med kunnskap nok til å kommunisere effektivt med – og lede –  ekspertisen. Inklusive de som har ansvaret for sikkerheten.

Før vi vet hva vi har – av data og behov – blir sikringen om ikke tilfeldig, i alle fall suboptimal. Kanskje for smal, for bred, for stor, for dyr eller upassende i en annen retning. Pandemien har snudd opp-ned på deler eller hele ligningen. 6 måneder gamle analyser er historiske. En CDO – Chief Data Officer – skal skape balanse. Også kostnadsmessig.