Hem Åter

 

 

Vi har bra idéer men får vi gehör? IT-säkerhet förklaras inte i en handvändning.

Säkerhetsarbetet är uthålligt och långsiktigt, hur får vi resurser till det arbetet i en ekonomi som tänker knappt ett kvartal i taget? Erfarenhetsmässigt har jag sett att bra förslag från IT-avdelningar och IT-säkerhetsansvarige helt enkelt inte kommit ända fram eftersom man inte lyckats kommunicera det man vill få gjort.  

I många organisationer finns ett märkbart hinder för IT-avdelningar att få gehör för sina idéer, inte behovet av avdelningens existens för det är självklart i dagens samhälle, men extra medel och resurser för unika behov som uppkommer under resans gång. Sett ur chefsperspektiv är IT ofta ett besvär eftersom de ofta missar budget, alltid vill de ha mer pengar, lyckas fixa stora engångskostnader som uppkommer ”plötsligt” och är ”livsavgörande för företaget”. Till råga på allt kommer de aldrig med några vettiga alternativ utan säger bara ”att det måste göras på det här sättet”. Några enkla saker kan vara tillräckligt att lösgöra de medel ni vill ha för de projekt som behövs, här gäller det att göra som romarna gör i Rom, för att nyttja ett gammalt talesätt.

 BUDGET

Budget syftar till att styra de ekonomiska flödena i företaget och organisationen. Det är heligt. Huvuden rullar friskt om chefer missar budget grovt. Chefer vill behålla sina jobb eftersom de anser sig ha fått kämpa för att komma dit och de gillar vad de gör. Alla som

inte förstår värdet av budget, och har respekt för budgetarbetet, blir direkt fiender. De är ett hot mot hur chefer leder verksamhet. Budget ger utfall och utfallet är siffror som mäts mot branschindikatorer, dvs att om ett företag har en lönsamhet på 10 % och branschen har en lönsamhet på 15 %, då kan det skötas bättre. Budget är också ett informationsflöde som börjar vid de olika verksamhetsgrenar och strävar mot toppen. Genom det arbetet informeras många instanser på vägen om behoven inom organisationen.  

När organisationer missar budget uppfattas det som dålig ledning, oprofessionellt och ett hot mot den större organisationens verksamhet. Den enda budget som får överskridas är säljbudgeten. Helst ska den överskridas rejält med bibehållna kostnader.  Som chef och ledare för en verksamhet är man exponerad mot övriga chefer och överordnade genom budgetutfallet. Det är det ekonomiska beviset för hur duktig man är. Alla kan snacka men budget visar hur man sköter sig jobb.

 IT har haft en tendens att helt bryta den strukturen genom att missa budget dramatiskt p g a att saker inträffat man som företagets ledning aldrig hört talas om eller ett systemköp som inte kostar 10 miljoner att integrera utan helt utan märkbar anledning, för VD och ekonomer, är en affär på 25 miljoner. IT blir en fiende. IT är en fara för den ekonomiska ordningen. Nu gäller det att göras IT till en allierad. 

DATAMYTEN

Att sitta inlåst i sin IT-fästning med travvis med manualer, nätverkskort och datatidningar från 1994, för att sedan bara kommunicera muntligt i tvärsäkra meningar leder till att man inte får gehör och ingen bryr sig. Det kan låta stereotypt med det är de facto en verklighet som finns. Efter att några år arbetat i gränslandet IT och övrig verksamhet känner jag ofta att det finns en ”vi – dom” attityd inom IT. Problemet är att ”dom” sitter på pengarna. Resultatet blir att IT-avdelningen lever ett liv utanför företagets informationsflöden och ger inte de som sitter på pengar och resurser en inblick i vad som behövs för framtiden.

IT i sig är begripligt för de flesta i stora drag. De flesta ekonomer hänger med bra i vad som kan tänkas behövas. Så länge vi talar epost och ordbehandling. Det stora problemet är när vi kommer till områden som är IT-specifika, komplexa och svåröverskådliga. Man frälsar inte en organisation på nolltid. IT-säkerhet måste bli en naturlig del och det dagliga informationsutbytet mellan säkerhetsfolk och verksamheten ger en grundläggande förståelse. Här gäller det att proaktivt visa upp vad man gör. Chefer är intresserade av vad som sker. Låt din VD läsa loggfiler över en öl och själv med flickaktig/pojkaktigt min konstatera ”Titta, här har Regeringskansliet laddat ner vår produktbroschyr som PDF!”. Då glider IT och säkerhet från okänt och nödvändigt ont till viktigt och verksamhetscentralt. Allt handlar om förståelse. Vi är alla människor.

 DOKUMENTATION

En riktig karl upprättar inga PM. Det finns en sorts tro inom dataavdelningar, och inom IT-sfären, att säger man en sak så är det så. Tvärsäkerheten om vad som skall göras är et tecken på att nman kan sin sak. Det leder till en ovilja att dokumentera och skriva ner vad som behöver göras, varför, hur det skall göras och vilka alternativ som finns.

 Vad gjorde att riskkapitaliserna tordes satsa miljoner på dot com? Välgjord dokumentation. Ingenting annat. De som ville få pengar motiverade och förklarade. Att det sedan inte gick som planerat är en annan sak. Det visar enkelt att bra beskrivningar och idéer på pränt kan frigöra mycket resurser och intresse. När du skall ha pengar till projekt och framtida investeringar kan du se din VD och finanschef som riskkapitalister som du skall motivera att investera i din avdelning. En riskkapitalist kräver affärsplan, förklarlig utveckling när kapitalet engagerats och en trovärdig avkastningskalkyl. Det skiljer ingenting mot vad en finanschef förväntar sig av dig när du äskar mer pengar. Börja skriv och förklara. Gör det tillsammans på avdelningen om du känner dig osäker. Det skrivna ordet är blodet i dagens samhälle.

 ÖVERDRIFTER

Det värsta med IT-säkerhetsfolk är att de ofta målar med för stora penslar och drar på om den väntande domedagen och det elektroniska Pearl Harbor som bara kommer närmare och närmare. Jag har hållit på med datorer sedan 1979. Det är 23 år idag. Och jag har hört samma sak från IT-säkerhetsfolk under i princip hela tiden. Katastrof, domedag, digital istid och binär böldpest, och allt detta kan stoppas om en mjukvara för 7,000 kronor inköpes. Lyssna på det igen. För en utomstående låter det som rena vansinnet.    

Risker skall vara realistiska. Problemet är att säkerhet värderas efter investeringen kontra tänkt skada och risk. Vi inbillar oss att om vi överdriver skadan så motiverar även en liten risk en stor investering. Ekvationen går ihop för oss. Är man inte blint troende på IT-säkerhet framstår det som dålig marknadsföring och rent intellektuellt respektlös där åhöraren antas i princip vara obegåvad att inte förstå sammanhanget. De flesta chefer är rätt så skärpta och kan sin grej. Ett överdrivet scenario som inte är bundet till verkligheten minskar IT-säkerhetsarbetets trovärdighet, det kan inte kvantifieras i pengar och blir, rent ut sagt, löjligt. Verkligheten är vår vän. Det finns tillräckligt med bra argument för att vi skall få de resurser vi behöver genom att enbart ta de sanna argumenten som är relevanta för vår verksamheten. Det tar med tid att sammanställa men det ger resultat.

 BESLUT

I texten har jag tagit upp som faktarutor saker som direkt är avgörande för att få ett positivt beslut som går som du har tänkt dig. Konkreta förslag ger konkreta beslut. Underlätta beslutsprocessen genom att ge chefen verktygen att gå på din linje. Beslutet skall vara ett mindre problem, om pengarna finns, när du gjort rätt förberedelser och dokumenterat, laddat med argument och förklarat varför ni finns och vad ni gör.

 EXPONERA AVSLAGET

Om man känner att ett avslag är i luften är det bättre att engagera en grupp beslutsfattare eftersom IT-säkerhet är överlevnad för ett modert företag. Ett exempel kan vara att din chef fullkomligt ignorerar IT-säkerheten, och har det varit tre andra chefer med när du drog dina förslag med kalkyler och ekonomiska underlag, kan du vara stensäker på att de andra kommer ihåg att det var din chef som inte brydde sig, om det skulle gå åt skogen. Chefer är överlevare. De tar inte gärna risker och de vet att de kan få sparken betydligt snabbare än någon annan. Det kan låta manipulativt men det är effektivt. Att slänga in ett PM på skrivbordet där du föreslår åtgärder kommer inte att ihågkommas om det brakar ihop, men om du låter chefen sticka ut huvudet och exponeras för risken att bära skulden om det händer något får du ofta ett helt annat gehör.  

Låt avslaget för dina förslag, och begäran om resurser, bli en ”risk” för den som tar det beslutet. I grupp måste folk motivera och i grupp kommer man ihåg. Det kan låta manipulativt men känner du att ditt arbete är viktigt och att det just är avgörande, tveka inte.

 TVEKA INTE

Om du anser att du har ett problem,  gå till verket och börja skapa förutsättningar för att det skall lösas. Varje gång du drar ett ärende och vill ha chefers uppmärksamhet så tränas du i att just få det du vill. Var ute i god tid. Folk blir inte anställda för att stå tillbaka, de skall göra vad de kan för att förbättra verksamheten. Alla har vi en inneboende kraft att se till att saker blir gjorda. Det har varit min förhoppning att du fått lite idéer hur du skall kunna få mer gehör och handlingsutrymme.

 

FÖRBEREDELSER FÖR ATT VISUALISERA BEHOV

 

  1. Var förberedd med en realistisk budget. Företagsledare driver en verksamhet som bygger på siffror och deras resultat redovisas med siffror. Vill du ha något gjort så dokumentera, förklara och gör det visuellt i siffror.
  2. Alla människor är i grunden lite slöa. Om du inte dokumenterar varför du vill ha resurser så har chefen två val, att negligera dig eller sitta ner en kväll och göra det pappersarbete du skulle ha gjort, vilket aldrig sker. Så om du inte står för siffror, budget och beskrivning, då blir du med stor sannolikhet utan de extra resurserna du ville ha. 
  3. Visa vad den företagsmässiga vinsten ligger. En back-up kan skydda mot att alla data förloras, en back-up hos tredje part skyddar data om datahallen blir fylld i vatten och gör om det i pengar. En bra knowledge management kan minska kostnaderna att få igång nya anställda efter de som slutat och samtidigt ge en IT säker miljö där företagshemligheter kan skyddas och säkras. Säkerhet blir lönsam.
  4. Periodisera kostnader. Om du begär 2,000,000 kronor fast det löper över 2 år med en utjämnad förbrukning så är det straxt över 80,000 kronor i månaden. Ekonomer tänker i kvartal och det är inget vi kan göra något åt. Gör en likviditetsberäkning på de resurser du säger dig behöva. Var öppen att skjuta på kostnader över t e x årsbokslut. Ekonomer kämpar att få saker att gå ihop, att visa svarta siffror istället för röda, ju mer öppen du är för deras argument så kan du räkna med att de lyssnar på dig.
  5. Lär dig grundbegrepp som ROI (Return of investment) och andra ekonomtermer och försök redovisa din verksamhet som alla andras. De flesta chefer har sin egen chef att förklara vad han håller på med. Om du visar att det du gör i ditt IT-säkerhetsarbete är ekonomiskt framgångsrikt och betyder att företagets resultat säkras så får du resurser. Ta fram branschstatistik för datahaverier, driftstopp och andra störning om jämför med din verksamhet. Är era siffror bättre än branschen så har ni skapat lönsamhet genom att skydda de intjänande delarna från störningar och är ni sämre är det lönsamt att satsa mer på er för att öka intjäningsförmågan.
  6. Överdrifter blir bara genomskådade. Inom IT säkerhet vill man av tradition måla f-n på väggen och uppfattas lätt som en domedagssekt som tror på den slutliga hackerattacken. Var realistisk. IT-säkerhet blir lätt impossibilistiskt, där faran finns överallt och alltid. En chef vill ha en verksamhet som inte störs och fungerar klanderfritt. Ge chefen underlag så att hon/han kan välja en relevant säkerhetsnivå.
  7. Ha alternativ. Det går inte att säga ”visst, det går att göra på ett annat sätt” och sedan lämna det där. Ledning och ekonomer vill ha konkreta förslag så de kan ta beslut. Vad är alternativen? Vad kostar det? Var ligger vinsten?
  8. När du ligger fel i budget, varna tidigt att ni ligger snett, bygg upp ett förtroende att ni kan hantera budget och klarar att möta de mål som ledningen ställer. Det värsta ledningen vet är negativa överraskningar.

 LÄGG GRUNDEN TILL ATT FÅ ETT ”JA!”

 

  1. Var ute i god tid och planera möten och interna sammanträden kring IT-säkerhet. Om du planerar ett möte om tre veckor är det viktigt, om två veckor är snävt eftersom en chef vill ha tid obokad i händelse av att de måste göra något och inom en vecka är omöjligt eftersom det är redan fullbokat. Värst är panikmöten. Det skrämmer bort deras intresse att se dina idéer.
  2. Tänk som chefen. Bli allierad i kampen för att ni alla skall lyckas.
  3. Gör det till en rutin att diskutera IT-säkerhet så att det ingår som en punkt vid alla bedömningar av ny materiel, säljmetodik, utbildning av nyanställda, etc.
  4. Ge chefen positiva budskap när bra saker sker som han kan förmedla när andra saker går åt skogen. Om du lyckats arbeta fram ett förmånligt avtal för hårdvara, när en tidning skrivit om er och andra saker som kan intressera eller om ni inbjuds tala på konferenser, berätta det för chefen som ett tecken på utveckling. I reda pengar kanske inte allt har någon betydelse men det underlättar för chefen att berätta något positivt till sin chef, även i lågkonjunkturstider.
  5. Alla människor är inte perfekta. Chefer är människor. Vi får alla ta lite ibland och använd den energin som alstras när du är irriterad till något nyttigt. Irriterade människor tror att de kan dölja det. Undvik att få chefen att känna sig hotad, genom att din irritation lyser igenom, och släpp det. Det tjänar ingenting till.
  6. När IT blir en del av vardagen som är det slut med acceptansen för det udda beteenden som odlats på dataavdelningar. Människor är mer grupporienterade än vi ofta vill erkänna. Ytterst få är individualister. Anpassning till företagets klädkod och andra yttre attribut handlar inte om fjanta eller göra sig till, det handlar om att underlätta för människor att ta beslut till din och din verksamhetsfördel. Större företag har en gruppkultur och vill man ha resurserna och förtroendet från gruppen får man vackert spela med lite.  
  7. Fråga i tid och var förberedd. Om företaget tänker köpa upp ett annat företag, var med och fråga hur de tänker göra i de frågor som gäller dig. När du fått svar, börja arbeta proaktivt och ta fram underlag så att ni är förberedda. Bli aldrig stående sist när det händer. Var med där det händer. IT säkerhet och systemskydd är viktigt för företaget, då skall man inte reaktivt sitta på kammaren och rulla tummarna.
  8. Diskutera i budgettermer och se på budget med samma allvar som de som skall ge dig resurserna. En IT människa kan tycka att budget är religion för ekonomer, och det är det nästan, och då får man vackert ta det för vad det är. Mycket dumheter har motiverats av budgetskäl. Kan man motivera tokerier är det minst lika lätt att motivera det du vill som dessutom är bra för företaget.
 

 


Läs "Så sänkte jag Sovjetunionen" som gratis e-bok - den tryckta kostar bara 39 kronor på Adlibris