Informationssäkerhet – en rättighet
New Public Management (NPM) som varit rådande i svensk förvaltning de senaste decennierna kan förklara många av informationssäkerhetens tillkortakommanden.
Den hypotesen lanserar ”på prov” Fia Ewald, expert, konsult och IT-debattör med informationssäkerhet som specialitet.Dessutom är hon tidigare chef för enheten för systematisk informationssäkerhet på MSB (Myndigheten för samhällsskydd och beredskap). OFFENTLIGA AFFÄRER har varit i kontakt med henne efter att hon publicerat ett blogginlägg kring detta.
Fia Ewald, expert på IT och säkerhet.
Vi har även intervjuat henne tidigare vid flera tillfällen. I början av året kommenterade hon skandalen med den falske officeren där Försvarsmakten lät “en uppenbart opålitlig person” få en säkerhetsklassad tjänst på Must. ”En säkerhetsskandal som slår den i Transportstyrelsen”, menade Fia Ewald då.
Men åter till hennes senaste utspel om svensk informationssäkerhets tillkortakommanden.
Varför fungerar så mycket av informationssäkerhetsarbetet så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Fia Ewald ställer sig själv frågan efter att under sommaren ha läst forskningsantologin Statlig förvaltningspolitik för 2020-talet.
Hon noterar att New Public Management, NPM, diskuteras frekvent i antologin och att många av dessa resonemang med lätthet kan översättas till informationssäkerhetsområdet.
”Försöker likna privata företag”
Fia Ewald förklarar:
– Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag. Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Hon fortsätter:
– Det som regleras är vad som ska göras men inte hur. Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen. Någon som kommer att tänka på den så omtalade ansvarsprincipen, kanske?
”Inför standard och normer”
Fia Ewald lanserar nu ett förslag som hon haft sedan hon jobbade på MSB.
– Det är exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet. Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar. Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Så här utvecklar Fia Ewald sin idé:
– Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar (redaktionens kursivering) på prioriterade processer i kommunal verksamhet.
Kan användas av samtliga
– Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna enligt Fia Ewald klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
– I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer – tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv – så skulle denna grund kunna användas under lång tid, framhåller Fia Ewald.
Gynnar offentliga kunder
– Att ta fram mer generiska klassningar och krav skulle också gynna offentliga kunder vid upphandlingar av it-tjänster liksom leverantörerna. Leverantörer med en tydlig gemensam kravbild på säkerhet från offentlig sektor skulle både våga satsa mer på utveckling och samtidigt få mer kostnadseffektivitet i sina leveranser, säger Fia Ewald till OFFENTLIGA AFFÄRER.
Likvärdighet som princip
Som bakgrund pekar hon på den viktiga grundprincipen för kommunal verksamhet: likvärdighet, det vill säga att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
– I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet, tillägger IT-experten.
Vad tror hon då om framtiden för dessa idéers genomförande?
– Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva som genom att tänka fritt och nytt måste skapa det. Det är inte i mängden dokument säkerheten sitter, avslutar Fia Ewald.
Läs hela bloggen som denna artikel bygger på. Klicka här.